重用來自 RFC6979 ECDSA 的附加數據 k’ nonce

眾所周知，您不得k在 ECDSA 中重複使用；這樣做會洩露你的私鑰。這就是發明 RFC6979 確定性簽名的原因之一。

現在，RFC6979 sec 3.6 指定了使用附加數據的可能性，這些數據k'會將熵提供給確定性方案。

附加數據 k’ 是非重複的（例如，簽名計數器或單調時鐘）就足夠了，以確保以密碼方式無法將“看起來隨機的”簽名與普通 (EC)DSA 簽名區分開來。

重用和重用k'一樣糟糕k嗎？例如，它會導致私鑰洩漏嗎？

重用和重用k'一樣糟糕k嗎？例如，它會導致私鑰洩漏嗎？

不; 重複使用相同的 k’ 會導致簽名是確定性的（即，對同一消息進行兩次簽名將導致相同的簽名），但不會產生其他影響。

如果是這樣，為什麼 RFC 聲明 k’ 應該是不重複的？

好吧，那部分都是關於“非確定性的變體”；重複 k 會洩漏數據，但也無法實現非確定性屬性（如果您正在查看 3.6 方法，您可能會對它感興趣）。

引用自：https://crypto.stackexchange.com/questions/97911