Firma ciega RSA vs firmar un hash * aleatorio *

2

Según tengo entendido, la característica clave de una firma RSA ciega es que el firmante desconoce el contenido del mensaje firmado.

¿En qué se diferencia esto de simplemente agregar un sal aleatorio al mensaje y distorsionarlo? ¿La alimentación de ese hash a la entrada de la función de firma RSA no lograría lo mismo?

Quien conoce el mensaje, la sal y la clave pública del firmante puede verificar la firma. O bien, quien tenga el hash y la clave pública del firmante puede verificar la firma. Mientras tanto, el firmante solo conoce el hash de lo que está a punto de firmar, por lo que parece que realiza la misma tarea: el firmante desconoce el contenido del mensaje real y no puede vincular el hash firmado al mensaje original sin saberlo. el mensaje original.

¿Cuál es la razón detrás de la introducción de firmas RSA ciegas, en lugar de usar el método descrito anteriormente?

¿Hay alguna propiedad que incluso después de que el atacante ha revelado el mensaje original , todavía no se pueda vincular al mensaje firmado? ¿Es esa desvinculable?

    
pregunta Gregory Magarshak 25.08.2017 - 00:16
fuente

1 respuesta

1

Sí. La desvinculación es uno de los objetivos de seguridad que deben alcanzarse.

Para eso, primero se realiza el hash del mensaje y luego se agrega algo de aleatoriedad y se lo da al firmante para que lo firme. De modo que, incluso después de enviar una firma y un mensaje, la parte receptora calcularía fácilmente el hash del mensaje, no podrá coludir con el firmante para conocer la identidad del remitente.

    
respondido por el Dolly Patwa 29.09.2017 - 17:16
fuente

Lea otras preguntas en las etiquetas