Схема сообщения RSA-ослепленная по-прежнему уязвима?

Question

Я знаю, что это более или менее алгоритм или проблема дизайна, а не столько программирования, но я надеюсь, что все в порядке.

Я использую ослепленное сообщение и имею его подписать C. После подписания я хочу удалить ослепление и у других пользователей A и B смогут поделиться сообщением. Это безопасно или может подписать еще прочитать эти сообщения, если у них есть публичные и частные ключи? Должен ли я предпринять дальнейшие шаги после размыкания, чтобы обеспечить конфиденциальность?

Я прочитал различные математические формулы, объясняющие, как это работает, но я больше программиста, чем математика. Я хочу обеспечить конфиденциальность, и я не уверен, работает ли это.

Answer 1

Подписи не обеспечивают конфиденциальность. Если у вас есть данные, которые должны быть переданы, но должны оставаться конфиденциальными, то вы должны использовать механизм передачи, который обеспечивает конфиденциальность.

Вы, по-видимому, также хотите, чтобы сообщение было подписано объектом C, но, не предоставив никакой подсказки на сообщение C. Вообще говоря, только подписать сущность только необходимо знать хэш подписанных данных. Затем сигнал может попробовать «угадывать» данные, используя потенциальные сообщения и посмотрите, если он соответствует полученному HASH. Это точка, где слепые подписи Вступайте в действие: чтобы подписать еще не увидеть хэшированное сообщение.

Это так бывает, что с RSA хешированное сообщение может быть восстановлено из подписи и открытого ключа подписателя. Signer (C), безусловно, знает свой собственный открытый ключ. Следовательно, сама подпись должна быть конфиденциальной (в противном случае не имеет смысла использовать слепые подписи в первую очередь). Таким образом, какой бы ни был механизм, который вы используете для сохранения самого сообщения, когда он передается от A до B, также следует применять к подписи (и подпись нет этот механизм).