Ecdsa
對 ECDSA 和 Schnorr 簽名使用相同的私鑰是否存在風險?
我想我已經看到 Greg Maxwell 對此發表的評論,但找不到它。我認為使用兩種算法使用相同的密鑰簽署相同的消息時存在一些風險?
在這個相關問題中,我看到 ECDSA 簽名輸出
(h, s)
但 Schnorr 輸出(r, s)
。所以在 ECDSA 中,r
它被保存為一個秘密值,但它在 Schnorr 中被揭示——這會以某種方式使私鑰可恢復嗎?
從我的郵件列表中複製關於此主題的摘要:
- 為了保持在可證明的安全範圍內,建議確保 ECDSA 密鑰和 Schnorr 密鑰使用不同的強化派生步驟。
- 即使您不這樣做,您實際上也只是回到了在證明已知之前我們對未硬化的 BIP32 ECDSA 密鑰的保證水平(我認為大多數人甚至都不知道)。
沒有已知的針對跨 ECDSA 和 Schnorr 重用密鑰的攻擊(至少只要隨機數是不相關/不可預測的,但如果不是這種情況,那麼在 ECDSA 或 Schnorr 內重用也會有問題)。
然而,據我所知,也沒有可以重複使用的安全證明,但這並不比最近僅 ECDSA 的情況更糟。