Dsa

重用來自 RFC6979 ECDSA 的附加數據 k’ nonce

  • January 1, 2022

眾所周知,您不得k在 ECDSA 中重複使用;這樣做會洩露你的私鑰。這就是發明 RFC6979 確定性簽名的原因之一。

現在,RFC6979 sec 3.6 指定了使用附加數據的可能性,這些數據k'會將熵提供給確定性方案。

附加數據 k’ 是非重複的(例如,簽名計數器或單調時鐘)就足夠了,以確保以密碼方式無法將“看起來隨機的”簽名與普通 (EC)DSA 簽名區分開來。

重用和重用k'一樣糟糕k嗎?例如,它會導致私鑰洩漏嗎?

重用和重用k'一樣糟糕k嗎?例如,它會導致私鑰洩漏嗎?

不; 重複使用相同的 k’ 會導致簽名是確定性的(即,對同一消息進行兩次簽名將導致相同的簽名),但不會產生其他影響。

如果是這樣,為什麼 RFC 聲明 k’ 應該是不重複的?

好吧,那部分都是關於“非確定性的變體”;重複 k 會洩漏數據,但也無法實現非確定性屬性(如果您正在查看 3.6 方法,您可能會對它感興趣)。

引用自:https://crypto.stackexchange.com/questions/97911