ElGamal 方案簽名：如果私鑰 a mod p 等於 private sig。key k mod p-1，攻擊者能注意到並確定a的值嗎？

如果有人正在使用 ElGamal 簽名方案對文件進行簽名，並且簽名中涉及的隨機數 $ k \mod (p-1) $ 等於 $ a $ （私鑰），攻擊者能注意到嗎？如果可以，那麼他可以確定 $ a $ ?

會不會是因為 $ \beta = \alpha^a \mod p $ 從發布的密鑰（ $ p $ , $ \alpha $ , $ \beta $ ） 和 $ r = \alpha^k \mod p $ 從簽名的消息三元組（ $ m $ , $ r $ , $ s $ ） 是相同的？

不，它不提供有關私鑰的額外資訊。

請注意，對私鑰值沒有限制，您只需確保 $ gcd(k, p-1) = 1 $ 然後 $ k $ 僅使用一次。否則可以很容易地找到私鑰：請參閱此連結，該連結解釋了 DSA 如何失敗（這與 ElGamal 方案的推理相同）。

引用自：https://crypto.stackexchange.com/questions/34055