เป็นไปได้ไหมที่จะสร้างลายเซ็น ECDSA โดยไม่ใช้ nonce

ฉันเป็นมือใหม่ในการเข้ารหัสและวิทยาลัยของฉันให้ ECDSA นี้แก่ฉัน ฉันรู้ว่าคุณต้องหารผลลัพธ์ของ: h(m)+r.priv เพื่อสร้างลายเซ็น แต่เป็นไปได้ไหมที่จะสร้างลายเซ็นโดยไม่มี Nonce หรือ 'K' เมื่อฉันมีรหัสส่วนตัว (priv) และ r ที่เลือกและแฮชของข้อความ

ใช่ เป็นเรื่องปกติในการสร้างลายเซ็น ECDSA จากข้อความ $M$ (หรือเป็นแฮช $H(ม)$ ) คีย์ส่วนตัว $d_U$ และพารามิเตอร์เส้นโค้ง โดยไม่ได้รับ nonce เป็นอินพุต โนเนซ $k$ ถูกสร้างขึ้นโดยเป็นส่วนหนึ่งของกระบวนการลงนาม โดยใช้วิธีใดวิธีหนึ่งจากสองวิธีต่อไปนี้:

1. มันสร้างจำนวนเต็มลับ $k$ เข้าไว้ด้วยกัน $[1,น)$ ใช้ตัวสร้างตัวเลขสุ่มที่แท้จริงพร้อมเอาต์พุตลับ เป็นเรื่องที่ คำจำกัดความมาตรฐานของ ECDSA.
2. มันสร้างจำนวนเต็มลับ $k$ ใน $[1,น)$ โดยใช้ก ฟังก์ชันสุ่มหลอก ด้วยกุญแจ $d_U$, นำไปใช้กับ $H(ม)$ และข้อมูลอื่นๆ ที่ไม่จำเป็นซึ่งไม่จำเป็นต้องเป็นความลับ (เช่น การประทับเวลา หรือ/และตัวเลขสุ่ม) นั่นคือสิ่งที่ RFC6979 ไม่กำหนด PRF ตาม HMAC

ทั้งสองวิธีมีความปลอดภัยพอๆ กัน: โดยพื้นฐานแล้ว $k$ เป็นความลับใน $[1,น)$ แก่ผู้โจมตีที่ไม่ทราบคีย์ส่วนตัว $d_U$, ไม่เป็นที่รู้จักและหากทราบก็ดูเหมือนจะเป็นการสุ่ม (ยกเว้นตัวเลือกที่สองหากเหมือนกัน $M$ ได้รับการลงนามใหม่และข้อมูลอื่น ๆ ที่เป็นทางเลือกซ้ำหรือขาดหายไป)

วิธีที่สองมีข้อดีตรงที่ไม่ต้องการตัวสร้างตัวเลขสุ่มที่มีคุณภาพในการเข้ารหัส อย่างไรก็ตามมันใช้รหัสส่วนตัว $d_U$ (และแย่กว่านั้นเมื่อผสมกับข้อมูลแปรผันที่ฝ่ายตรงข้ามอาจทราบ) ดังนั้น PRF จึงต้องได้รับการปกป้องจากการโจมตีช่องทางด้านข้าง

วิธีที่สองเท่านั้นที่สามารถรับประกันได้ว่าการเซ็นข้อความเดียวกันสองครั้งด้วยคีย์ส่วนตัวเดียวกันจะสร้างลายเซ็นเดียวกัน ซึ่งขึ้นอยู่กับสถานการณ์ว่าต้องการหรือไม่