使用 ECDSA，驗證者可以計算任何屬性ķķk?

使用 ECDSA，給定 $ (r,s) $ 和 $ m $ ，有沒有辦法讓驗證者計算任何（布爾）屬性 $ k $ ， 不知道 $ k $ 或私鑰 $ D_A $ ?

（我明白那個 $ k $ 應該是隨機的，或者遵循 RFC6979，但我很好奇。）

特別是，驗證者是否可以計算，給定一個簽名 $ (r,s) $ 和一條消息 $ m $ ， 那：

1. $ k $ 很奇怪
2. $ k $ 與曲線參數之一有某種數學關係
3. $ k $ 與公鑰有某種數學關係 $ Q_A $
4. $ k $ 與（截斷的）消息雜湊有一些數學關係 $ z $
5. $ k $ 是使用 RFC6979 確定性生成的。請參閱文章Android 安全漏洞了解 $ k $ 用於生成簽名。

（變數名取自這裡。）

我們目前不知道有任何關係。原因如下。地圖

$$ k \mapsto (k G).x $$被認為是一個很好的偽隨機數生成器。

（Dual EC drgb 的 NSA 滲透與該事實無關）。

這基本上說 k 和 r 可以看作是獨立的隨機變數。

引用自：https://crypto.stackexchange.com/questions/30331