(EC) DSA 盲簽名可能嗎?
我一直在尋找一種創建盲 ECDSA 簽名的方法。我的研究和實驗使我相信這是不可能的。
我一直試圖闡明原因,我認為這是因為不可能以一種可以在保留有效簽名的同時反轉的方式對消息應用轉換。消息和簽名無法按要求進行轉換,因為接收方不知道臨時密鑰,如果知道密鑰,則可以確定長期簽名密鑰。ECDSA 簽名僅允許驗證簽名是由消息和對應於預期公鑰的私鑰形成的。
我想確認是否有任何已知的 ECDSA 盲簽名方案?我想出版偏見可能會阻止這種情況出現在文獻中。
更一般地說,是否有任何已知的 ECDSA 變體,例如代理簽名?我的研究使我得出結論,它的功能完全受限於產生標準簽名方案。
我不知道有任何現有的方案可以輕鬆實現這一點(也許 PureEdDSA 除外,但我不會將其歸類為 ECDSA變體)。
但是我不相信這是不可能的。因此,讓我們嘗試為 ECDSA 執行此操作:
我們有一條消息 $ m $ 其雜湊值 $ H(m) $ 被轉換成整數 $ z $ 簽入簽名 $ (r,s) $ 由簽名者。
現在驗證者基本會依賴
$$ \begin{aligned} C&=u_1\times G+u_2\times Q\ &=u_1 \times G +u_2d \times G\ &=(u_1+u_2 d)\times G \ &=(zs^{-1}+rds^{-1})\times G \ &=(z+rds)\color{red}{s^{-1}}\times G \ &=(z+rd)\color{red}{(z+rd)^{-1}(k^{-1})^{-1}}\times G \ &=k\times G \end{aligned} $$ 並且會說它驗證 iff $ C_x==r $ 如你所見,如果你能改變 $ r,s,z $ 然後你可以強制最新行中的係數取消“幾乎”,通過採取 $ bs,abr,abz $ 相反,最終會得到$$ (abz+abrd)\color{red}{b^{-1}(z+rd)^{-1}(k^{-1})^{-1}}\times G \ = ak\times G $$ 現在困難的部分是找出是否有可能得到 $ a,b,m’ $ 這樣 $ H(m’) $ , 一旦轉換成 $ z’ $ 是這樣的 $ z’=abz $ 並且這樣 $ (ak\times G)_x \equiv abr\mod n $ …
我不明白為什麼這不可能,在變數上被給予了這麼多的鬆弛……但由於我現在沒有時間實際嘗試它,我會嘗試稍後或改天嘗試並將相應地編輯此答案。
下面的論文給出了一個;
- 2021 年,Cianrui Qin 和 Cailing Cai 和 Tsz Hon Yuen的 Blind ECDSA 再一次不可偽造