Overbeckの

ShamirのPKP用ゼロ知識とCFS署名をくっ付けてブラインド署名を構成. アイデアは面白くって, メッセージのダイジェストをマスクするんじゃなく公開鍵をマスクするというもの. その上で鍵の関係間を示そうというらしい.
一瞬ブラインド性無い気がしたので, 後でちゃんと読んで攻撃してみよう. あと, 仮定が変なことになっているのにそれを隠すのはどうかと思った. そのままシンドローム復号問題にはいかないと思うのだが.

署名者は高い確率でブラインド性を破れる. 2回のブラインド署名プロトコルで, 付けた署名の重さが揃わない場合は, 破れてる.

上の話は無し. 署名のハミング重みは固定だった. アルゴリズムの中の検証式ではノルムがぴったりBなことを検証しているのでセーフ.