Blind-Signature
盲簽名
盲簽名中給出的驗證算法。它應該對兩者都有效嗎
- 原始消息及其上的簽名
- 盲目的消息和上面的簽名。
如果是,那麼我們如何驗證驗證算法是否接受在揭盲階段計算的參數?
對於盲簽名方案,您需要保持盲目性和不可偽造性才能稱其為安全。對於您的問題,後者很有趣。
這裡的不可偽造性本質上是說,如果對手查詢簽名 $ n $ 消息 $ m_1,\ldots,m_n $ ,那麼對手一定不能有效地計算另一個有效的簽名 $ m^* $ 這樣 $ m^*\neq m_i $ 為了 $ 1\leq i\leq n $ (本質上是一個再偽造)。
如果你的第二點是真的,那麼對手會查詢一些消息 $ m $ 並且偽造將是盲目的消息,並且會被輕易接受,因為它被驗證算法接受。
因此,您不希望在盲簽名方案的標准定義中包含 ii)。
問題是:為什麼要要求 ii) 持有?