Rsa

為什麼致盲整數rrr需要與ññN在盲 RSA 簽名中

  • July 5, 2020

根據盲 RSA 簽名wiki隨機值 $ r $ 在 $ m^\prime=mr^e \bmod N $ 需要相對質數 $ N $ .

  • 為什麼這是一個要求?

跟進一個相關問題:之後 $ s $ (非盲簽名)和 $ m $ (原始消息)被洩露,任何人(不僅是簽名機構)都可以通過檢查來檢查簽名的有效性 $ s^e=m \bmod N $ ?

為什麼這是一個要求?

好吧,如果 $ r $ 有(說) $ p $ 作為一個因素,它使揭盲步驟相當困難。

原本的 $ m $ 有 $ N = pq $ 可能的,就像 $ m^d $ ; 如果 $ r $ 是的倍數 $ p $ , 然後 $ mr^e $ 只有 $ q $ 可能的值;如果我們將它傳遞給簽名者,它會返回給我們一個值 $ m’^d $ 那也只有 $ q $ 可能的值。我們無法映射 $ m’^d $ 回到 $ m^d $ (作為單 $ m’^d $ 值將映射回 $ p $ 可能的 $ m^d $ 價值觀,我們不知道它是哪一個。

跟進一個相關問題:之後 $ s $ (非盲簽名)和 $ m $ (原始消息)被洩露,任何人(不僅是簽名機構)都可以通過檢查來檢查簽名的有效性 $ s^e=m \bmod N $ ?

是的,任何擁有公鑰的人都可以驗證它。這通常適用於公鑰簽名算法。

引用自:https://crypto.stackexchange.com/questions/81750