On Wednesday, September 3, 2014, Trevor Perrin <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> <br>

People keep suggesting salt, but I don't think per-user salt is<br>
feasible (different salts could map Bob's address to different hashes,<br>
allowing the log to contain different public keys for Bob).</blockquote><div><br></div><div>This is a very important point. (Which I hadn't really considered!)</div><div><br></div><div>It's possible to enforce this post-hoc by publishing/gossiping (signed) messages consisting of a salt and a ZKP of the corresponding email address.[*]</div>
<div><br></div><div>This is likely fairly effective in this case: If, e.g., to 'register' <a href="mailto:coruus@gmail.com">coruus@gmail.com</a>, Google requires your Gmail address, they can reject 'salt-split' identities. If they ever do, you can prove that they did. This makes them, e.g., being ordered to do so rather less likely.</div>
<div><br></div><div>But this is only deters attacks; it doesn't prevent them.</div><div><br></div><div>[*] In practice just another salted hash would work...</div>