<div dir="ltr"><div><div><div><div>I said so in other messages in this thread:<br><br><a href="https://lists.mayfirst.org/pipermail/guardian-dev/2013-January/001237.html">https://lists.mayfirst.org/pipermail/guardian-dev/2013-January/001237.html</a><br>

<br></div>Using secure multiparty computation or an equavilent scheme, you can send data to another person while proving it came from you at the time of transmission but making it impossible to verify that it came from you *after* the transmission. This is not just OTR, because OTR assumes you wipe the session keys. Secure multiparty computation assumes not both sides have hardware debuggers storing every computation.<br>

<br></div>So that signature has everything you'd expect. Just not anything tying it to the person who made it. So your WoT managing software needs to protect the signature database from modifications (unless you use full disk encryption), which a signed checksum list will handle just fine, whitelist style.<br>

<br></div>Now this won't really be a *web* of trust. There's just one step. But you *could* pass on these signatures with their public keys to others, making it come a bit closer. And you can still publish signatures under your name on keyservers, for the things you don't mind being tied to you publically.<br>

<br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/1/23 Patrick Baxter <span dir="ltr"><<a href="mailto:patch@cs.ucsb.edu" target="_blank">patch@cs.ucsb.edu</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I can't quite wrap my head around how you could implement anonymous<br>
signatures that meaningfully tell you something about authentication<br>
or help build a web of trust. On a high level, if a friend of mine<br>
whose public key I know anonymously signs someone's key to prevent<br>
being linked with that person. What does this signature tell me about<br>
the key he verified?<br>
<div class="HOEnZb"><div class="h5"><br>
On Wed, Jan 16, 2013 at 7:05 PM, Natanael <<a href="mailto:natanael.l@gmail.com">natanael.l@gmail.com</a>> wrote:<br>
> Can we have anonymous signatures?<br>
><br>
> Could we do something useful with RSA and Chaumian blinding? Or could we<br>
> possibly sign things in such a way that the recipient (the friend who can<br>
> see what I have signed) must give up his private key to prove to others that<br>
> I was the signer? Though secure multiparty computation probably screws up<br>
> that latter method of keeping my signatures from being linked to me, unless<br>
> the algorithm to check the signatures give you a result that can't be<br>
> verified computionally, just by the user.<br>
</div></div></blockquote></div><br></div>