為什麼 RFC 6979 需要這麼多循環？

我最近開始閱讀RFC 6979。我很好奇為什麼它需要這麼多循環。

這篇文章提出了一個類似的問題：“RFC 6979 - 為什麼不簡單地散列消息和確定性 ECDSA 的私鑰？” ，但我的疑問仍未得到解答。

為什麼不能 $ k $ 在 ECDSA 中使用就像 $ k = SHA256(sk + HASH(m)) $ ?

僅僅是因為 HMAC_DRBG 有更好的安全證明嗎？

現有的 DSA 和 ECDSA 安全證明要求 k 均勻隨機選擇。HMAC_DRBGB 已經是被批准用於任一簽名方案的 CSPRNG。因此，這只是更改了實例化和熵源，使其成為現有實現添加的最小更改。請參閱第 3.5 節“基本原理”

引用自：https://crypto.stackexchange.com/questions/92119