Rsa

RSA 盲簽名與 DSA 盲簽名

  • December 12, 2014

我看到 RSA 盲簽名方案往往比其他方案更頻繁地實施,例如 DSA 盲簽名。如果可以的話,與 DSA 相比,RSA 盲簽名方案不是“次要”方案嗎?DSA 的性能似乎提高了大約 6 倍,並且不容易受到定時攻擊等攻擊。RSA 方案的安全性甚至沒有得到證實,對吧?

謝謝

嗯,我認為很難對這個問題給出一個真正客觀和完整的答案。

就個人而言,我認為您可能經常遇到 RSA 盲簽名的原因在於它的簡單性。不過,我不太確定您是否會在實際實施中經常看到它,因為有一項專利(據我所知,該專利最近到期)。RSA 盲簽名可以在互動式假設(一個多 RSA 反轉假設)下在隨機預言模型中被證明是安全的,請參見此處. 有人可能會說,在某些互動假設下證明安全性並不是很好,但我們對這個方案沒有更好的論據。然而,從理論的角度來看,一件好事是 RSA 盲簽名是回合最優的,即兩次移動(一條消息給簽名者,一條返回),因此自動並發安全,即不需要關心關於由於交錯不同的簽名會話而導致的攻擊。

Schnorr 類型的盲簽名(例如盲 DSA 簽名)在概念上並不是那麼簡單(儘管也不是很複雜)並且總是至少三步棋(因此不是回合最優的)。從可證明的安全形度來看,它們可以在隨機預言模型中被證明是安全的,但據我所知,所有減少都需要分叉引理,因此並不是很嚴格。您必須自行決定是否願意接受互動式假設或對離散對數假設進行鬆散簡化。

如果您在離散對數設置中尋找實用的盲簽名,您還可以查看BLS 盲簽名,它是圓形最優的,並且可以在互動式假設下在隨機預言模型中被證明是安全的(與 RSA 盲簽名非常相似)簽名方案)。但是,它們需要間隙 Diffie Hellman 組,即 DDH 容易的組,因此需要配對

從實現的角度來看,我認為很難給出一個普遍的答案,因為它實際上取決於您將在基於離散日誌的設置中實例化盲簽名的類型。

引用自:https://crypto.stackexchange.com/questions/20793