Según tengo entendido, la característica clave de una firma RSA ciega es que el firmante desconoce el contenido del mensaje firmado.
¿En qué se diferencia esto de simplemente agregar un sal aleatorio al mensaje y distorsionarlo? ¿La alimentación de ese hash a la entrada de la función de firma RSA no lograría lo mismo?
Quien conoce el mensaje, la sal y la clave pública del firmante puede verificar la firma. O bien, quien tenga el hash y la clave pública del firmante puede verificar la firma. Mientras tanto, el firmante solo conoce el hash de lo que está a punto de firmar, por lo que parece que realiza la misma tarea: el firmante desconoce el contenido del mensaje real y no puede vincular el hash firmado al mensaje original sin saberlo. el mensaje original.
¿Cuál es la razón detrás de la introducción de firmas RSA ciegas, en lugar de usar el método descrito anteriormente?
¿Hay alguna propiedad que incluso después de que el atacante ha revelado el mensaje original , todavía no se pueda vincular al mensaje firmado? ¿Es esa desvinculable?