是否可以暴力破解 ECDSA 中使用的隨機數？

眾所周知的事實是，知道在簽署 ECDSA 簽名時使用的 nonce 可以很容易地從該簽名中計算出私鑰。如果我理解正確，這個隨機數是一個有限大小的正整數，所以與嘗試直接暴力破解私鑰相比，沒有那麼多可能性。實際上，我讀到在某些情況下，只知道一點隨機數就足以找到它（晶格攻擊）。那麼是否有可能使用強大的電腦在合理的時間內暴力破解隨機數來獲取私鑰？

您將偏向隨機數攻擊與蠻力混淆了。格攻擊需要對隨機數的生成產生偏差以恢復密鑰。

另一方面，如果您使用 256 位曲線，那麼對於經典攻擊者來說，暴力破解 nonce 是不可能的，因為 $ k $ 選自 $ [1,n-1] $ 均勻隨機在哪裡 $ n $ 是基點的階 $ G $ .

引用自：https://crypto.stackexchange.com/questions/98420