<div dir="ltr"><div>Good time-of-day, respected cryptographically gifted individuals.<br><br></div><div>My friends and I  have been reading up on anonymous authentication schemes, and we've run into a very interesting paper:<br><br>Self-blindable Credential: Towards Lightweight Anonymous Entity Authentication (by Yanjiang Yang, Xuhua Dingy, Haibing Luz, Jian Weng)<br><br></div><div>It's available at iacr : <br><a href="https://eprint.iacr.org/2013/207.pdf">https://eprint.iacr.org/2013/207.pdf</a><br><br></div><div>And basically, there's some disagreement over interpretation of a particular part of the text (do note that despite certain interest in the field, none of us are particularly mathematically gifted, to put it kindly)<br><br></div><div>The part in question is (quote follows, with busted notation, alas)<br>----<br>Suppose that user u's long term signing key is an ElGamal-type key pair (m; y = gm), where y<br>is the public key certi¯ed by a CA and m is the private key. To get a credential from the credential<br>issuer, the user submits am and PoKf(m) : A = am^y = gmg. Then, the credential issuer computes<br>an ASM signature on m (instead of on user identity u). Our scheme ensures that the user must<br>know m in order to construct the proof of knowledge for A0 = am¢f bs¢fdf in running the Blind<br>algorithm. As a result, user u is enforced to share her private key m in order to share her credential<br>with another user.<br>----<br><br></div><div>Question:<br>does the "credential issuer"  gain possession of the "naked" private key m, and thus abusive abilities usually associated with such possession (like, impersonating the user on a whim) ?<br><br></div><div>A pointy-haired-boss explanation would be very appreciated.<br><br>Thank you very much for your time.<br><br></div><div>Warm regards,<br></div><div>J<br></div></div>