On the (im)possibility of secure ElGamal blind signatures

В настоящей работе исследуется возможность построения стойкой схемы подписи вслепую на основе уравнения Эль-Гамаля. Определяется обобщенная конструкция и анализируется ее стойкость. Рассматриваются два типа схем, соответствующих предложенной конструкции, которые покрывают все известные схемы. Для схем первого типа приводится общая ROS атака, которая нарушает свойство неподделываемости в модели с параллельными сессиями. Для схем второго типа доказывается, что они не обеспечивают либо неотслеживаемость, либо неподделываемость. Как следствие, доказывается, что все известные схемы подписи вслепую Эль-Гамаля не являются стойкими. Кроме того, полученные результаты показывают, что существование стойкой схемы подписи вслепую Эль-Гамаля потенциально возможно только для малого количества уравнений подписи Эль-Гамаля и требует нестандартного подхода к выработке первого компонента подписи.