ECDSA 簽名是否有任何弱資訊？

假設使用 ECDSA 而不對消息進行雜湊處理，而是直接使用短消息（比如 10 字節長）作為值z（使用http://en.wikipedia.org/wiki/Elliptic_Curve_DSA中的定義），因為我們需要極快的簽名在特定的嵌入式平台中使用 ECDSA。我們還預先計算kG和k^-1值。

是否存在z可以偽造簽名的弱值？

$$ Partial answer $$在 D. Brown 的Generic Groups, Collision Resistance 和 ECDSA中（參見http://cacr.uwaterloo.ca/techreports/2002/corr2002-06.ps>或<http://eprint.iacr.org/2002/026）第 17 頁，您有很多關於可以與 ECDSA 一起使用的散列函式類型的資訊。在您的情況下，將身份函式作為雜湊並查看結果，您會發現兩個建議的弱點與您的情況特別相關：

1. $ z=0 $ 是一個弱值（參見Zero-Finder-Resistant Hash）
2. 如果隨機數以曲線階為模的機率屬於您可接受的範圍 $ z $ 值不是太低，也有攻擊（見單向雜湊函式）。建議使用 10 字節長的值，機率足夠低，您可能可以忽略此攻擊。

引用自：https://crypto.stackexchange.com/questions/9379