沒有因素“r”，DSA 仍然安全嗎？

如果我理解正確，DSA 組中的方式 $ G $ 帶有雜湊函式 $ H $ 作品是：佩吉（簽名者）有一個私鑰/公鑰對 $ x $ , $ g^x $ . 為了簽名，她生成了一個隨機會話密鑰 $ k $ , $ g^k $ 然後計算簽名： $ s=\frac{H(m)+xF(g^k)}{k} $ 其中 F 是一些“合理統一的函式” $ F: G \rightarrow \frac{\mathbb{Z}}{|G|\mathbb{Z}} $ . 為了驗證簽名，Victor 檢查 $ g^{\frac{H(m)}{s}}(g^x)^{\frac{F(g^k)}{s}} = g^k $ .

我的問題是關於因素 $ F(g^k) $ （命名為 $ r $ 在許多博覽會中，例如在維基百科中）。安全方面的必要性有多大？更具體地說：假設 Peggy 要計算簽名 $ s=\frac{H(m)+x}{k} $ （因此，Victor 將計算： $ g^{\frac{H(m)}{s}}(g^x)^{\frac{1}{s}} = g^k $ ）。這是否會使該方案容易受到特定的已知攻擊？

這個問題的重複（2019 年 2 月問，沒有答案）。另請參閱這個過去的問題，其中答案斷言碰撞 $ r $ 不允許密碼破解。

這種簽名方案很容易偽造。

注意有 $ s $ 僅用於驗證方程的右側，並且 $ g^k $ 僅用於左側。偽造者弗雷德可以自由選擇任何 $ s $ ; 計算左邊說 $ \ell=g^{\frac{h(m)}s}(g^x)^{\frac1s} $ 然後發布簽名 $ (\ell,s) $ 這將被維克多接受。

引用自：https://crypto.stackexchange.com/questions/99246