BlindSignature | 先生您好,这份文件是你签的吗?
引言
-假设一种场景,对某文件签名,而不让签名者看到文件内容,怎么做呢?
-有同学会说:我知道!让签名者把眼睛闭起来。是的,这也其实是一种办法。
当然更优化的方案是:把文件放到信封里,在信封里放一张复写纸,签名者在信封上签名时,
他的签名便透过复写纸签到文件上。
此时实现了让签名者不知道内容的同时,实现了数字签名,保护了文件的内容安全。
这里只是做一个简单的类比,实际情况中,信封就是消息的盲化操作。
(没耐心的人请直接阅读0x04 本文搬运自@Weisswire 大佬的博客 https://www.cnblogs.com/Severus-Cavendish/p/15587538.html)
0x01 盲签名的定义
是一种数字签名的方式,在消息内容被签名之前,对于签名者来说消息内容是不可见的,也就是盲化。
0x02 性质
不可伪造性:除了签名者本人外,任何人都不能以他的名义生成有效的盲签名。这是一条最基本的性质。
不可抵赖性:签名者一旦签署了某个消息,他无法否认自己对消息的签名。
盲性:签名者虽然对某个消息进行了签名,但他不可能得到消息的具体内容。
不可跟踪性:一旦消息的签名公开后,签名者不能确定自己何时签署的这条消息。
即签名者仅知sig(m'),而不知sig(m)。即使签名者保留sig(m')及其他有关数据,仍难以找出
sig(m)和、sig(m')之间的内在联系,不可对消息m的拥有者进行追踪
0x03 流程
- 接收者首先将待签数据进行盲变换,把变换后的盲数据发给签名者。
- 经签名者签名后再发给接收者。
- 接收者对签名再作去盲变换,得出的便是签名者对原数据的盲签名。
0x04 具体步骤
1.消息盲化。甲将原消息m进行盲化处理得m’,然后将盲消息m’传送给乙。进行盲化处理的方法很多,例如,可随机选取某个数,称该随机数为盲因子,把原消息数值化后,与盲因子相乘即可得到盲消息。
2.对盲消息签名。乙应用通常的数字签名方法对盲消息进行签名,并将其签名sig(m’)送给甲。
3.恢复签名。甲通过除去盲因子的方法,从盲签名sig(m’)中得到相关原消息m的签名:sig(m)。将来出现纠纷时,当甲拿出乙的盲签名,而乙显然不能否认其签名,这样就可以证明原消息的真实性。
传统的方案主要是RSA方案,区块链中多数时候会用到椭圆曲线进行签名。
0x05 应用场景
一切需要匿名签名的情况,比如
- 匿名投票
- 电子现金:一般的签名,签名者对自己发出的签名,必须是记得的,比如,在何时何地对谁发的,他自己可以记下来。
但是,如果把签名看作是电子现金的话,就涉及到一个匿名性的问题。
我们也不希望银行通过追踪自己发出签名,来获得用户的消费情况,于是就设计出盲签名。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 kitescat' blog!