盲签名

概述

1. $Setup$: 签名者生成公私钥对 $(pk,sk)$。
2. $Blind(m)$: 用户选择随机数 $r$，计算盲化消息 $m^{\prime }=Blind(m,r)$ 并发送给签名者。
3. $Sign(sk,m^{\prime })$: 签名者使用私钥 $sk$ 对盲化消息 $m^{\prime }$ 进行签名，生成盲签名 $s^{\prime }=Sign(sk,m^{\prime })$ 并返回给用户。
4. $Unblind(s^{\prime },r)$: 用户使用随机数 $r$ 对盲签名 $s^{\prime }$ 进行去盲化，得到最终签名 $s=Unblind(s^{\prime },r)$。
5. $Verify(pk,m,s)$: 验证者使用公钥 $pk$ 验证消息 $m$ 和签名 $s$ 的有效性。

主要应用于隐私保护，例如我有一个投票消息，需要签名者对其进行签名以证明其有效性，但不希望签名者知道具体内容，也不希望签名者能够将签名与我关联起来，就可以通过盲签名来实现。

RSA盲签名

1. $Setup$: 签名者选择两个大素数 $p$ 和 $q$，计算 $n=p\cdot q$，计算 $ed=1mod\varphi (n)$，其中 $\varphi (n)=(p-1)(q-1)$。公钥为 $(e,n)$，私钥为 $d$。
2. $Blind(m)$: 用户选择随机数 $r$，计算盲化消息 $m^{\prime }=(m\cdot r^e)modn$ 并发送给签名者。
3. $Sign(d,m^{\prime })$: 签名者使用私钥 $d$ 对盲化消息 $m^{\prime }$ 进行签名，生成盲签名 $s^{\prime }=(m^{\prime }{)}^{d}modn$ 并返回给用户。
4. $Unblind(s^{\prime },r)$: 用户使用随机数 $r$ 对盲签名 $s^{\prime }$ 进行去盲化，得到最终签名 $s=(s^{\prime }\cdot r^{-1})=m^{d}modn$, $\because s^{\prime }=m^d\cdot r^{ed}=m^d\cdot rmodn$
5. $Verify(e,n,m,s)$: 验证者计算 $s^{e}modn==m$。

Schnorr盲签名

回顾：Schnorr签名

1. $Setup$: 选择素数 $p,q$ 使得 $q\mid (p-1)$，取阶为 $q$ 的生成元 $g$；设哈希 $H:\{0,1{\}}^{\ast }\to {\mathbb{Z}}_q$。私钥 $x\in {\mathbb{Z}}_q$，公钥 $y=g^{x}modp$。
2. $Sign(x,m)$: 签名者选随机数 $k\leftarrow {\mathbb{Z}}_q$，计算 $R=g^{k}modp$，计算 $e=H(R\parallel m)$，计算 $s=k+x\cdot emodq$，签名为 $\sigma =(e,s)$。
3. $Verify(y,m,\sigma )$: 验证者计算 $R^{\prime }=g^s\cdot y^{-e}modp$，检查 $H(R^{\prime }\parallel m)?=e$。
4. 也可以令 $\sigma =(R,s)$，验证时计算 $e=H(R\parallel m)$，然后计算 $R^{\prime }=g^s\cdot y^{-e}modp$，检查 $R^{\prime }?=R$。

具体步骤

1. $Setup$: 选择素数 $p,q$ 使得 $q\mid (p-1)$，取阶为 $q$ 的生成元 $g$；设哈希 $H:\{0,1{\}}^{\ast }\to {\mathbb{Z}}_q$。私钥 $x\in {\mathbb{Z}}_q$，公钥 $y=g^{x}modp$。
2. $Commit$: 签名者选随机数 $k\leftarrow {\mathbb{Z}}_q$，计算 $R=g^{k}modp$，发送 $R$ 给用户。
3. $Blind(m,R)$: 用户选盲化因子 $\alpha ,\beta \leftarrow {\mathbb{Z}}_q$，计算 $R^{\prime }=R\cdot g^{\alpha }\cdot y^{\beta }modp$，令 $e^{\prime }=H(R^{\prime }\parallel m)$，并令 $e=e^{\prime }+\beta modq$，把 $e$ 发给签名者。
4. $Sign(x,e)$: 签名者计算 $s=k+x\cdot emodq$，返回 $s$。
5. $Unblind(s,\alpha )$: 用户计算 $s^{\prime }=s+\alpha modq$，得到最终签名 $\sigma =(e^{\prime },s^{\prime })$。
6. $Verify(y,m,\sigma )$: 验证者计算 $R^{″}=g^{s^{\prime }}\cdot y^{-e^{\prime }}modp$，检查 $H(R^{″}\parallel m)?=e^{\prime }$。

正确性：本质上是确认 $R^{″}=R^{\prime }$：

$$R^{″}=g^{s^{\prime }}\cdot y^{-e^{\prime }}=g^{s+\alpha }\cdot y^{-(e-\beta )}=g^{k+x\cdot e+\alpha }\cdot g^{x(-e+\beta )}$$$$=g^{k+\alpha +x\cdot \beta }=R\cdot g^{\alpha }\cdot y^{\beta }=R^{\prime }$$