Можно ли связать (Sx, x) с (Sb, b), если Сигнер и Талье — одно и то же лицо?
Нет (при условии, что ослепляющий фактор был выбран случайным образом).
Вот как работает ослепление RSA: чтобы подписать сообщение заполнения $м$, Боб выбирает случайное значение $г$, и отправляет $r^e \cdot m \bmod n$ (куда $е, п$ взяты из открытого ключа). Затем подписывающая сторона вычисляет $(r^e \cdot m)^d = r \cdot m^d \bmod n$ (а затем Боб завершает процесс, вычисляя $r^{-1} \cdot (r \cdot m^d) = m^d$)
Дело в том, что (без учета тривиальной вероятности того, что либо $м$ или же $г$ не является относительно простым для $n$) тогда $r^e$ также может быть любым значением, и поэтому для любого возможного сообщения $м'$, существует $г'$ такой, что $r'^e \cdot m'$ согласуется со значениями, которые подписывающая сторона получает от Боба. То есть значение, которое Боб передает подписывающей стороне, не дает вообще никакой информации (с информационной точки зрения) о подписываемом сообщении, и это верно, даже если подписывающая сторона обладает сколь угодно большим объемом вычислительных ресурсов.
Это включает в себя любую информацию, которую Талье может использовать, чтобы связать голосование с подписывающим лицом.
Обратите внимание, что я начал это с того, что «коэффициент ослепления был выбран единообразно»; если нет, например, есть значения $г$ что Боб никогда не выберет, то подписавший сможет кое-что узнать (возможно, какие ценности Боб нет подписание)