在ECDSA(橢圓曲線數字簽名算法)中,我們使用隨機數 $ k $ 在簽名過程中。
ECDSA 中的簽名是:
$$ (x_1,y_1) = [k]G $$
$$ r = x_1 \bmod n $$
$$ s = k^{-1} (z+r,d_{a}) \bmod n $$
如果我們知道私鑰 $ d_a $ 和簽名 $ (r,s) $ 是否可以隨機計算 $ k $ ? 如果不是,計算它有多難?
這是即時的:
$$ k = s^{-1} (z + r , d_a) \bmod n $$
在哪裡 $ z $ 是被簽名消息的雜湊值。
引用自:https://crypto.stackexchange.com/questions/39773