ECDSA - สร้างรหัสส่วนตัวใหม่ทุกครั้งที่เราลงนาม?

ดังนั้นฉันจึงเข้าใจคณิตศาสตร์เบื้องหลัง ECDSA แต่ฉันไม่สามารถหาข้อมูลที่แม่นยำเกี่ยวกับการสร้างคีย์ส่วนตัวได้ กล่าวอีกนัยหนึ่ง เราต้องสร้างรหัสส่วนตัวทุกครั้งที่เราสร้างลายเซ็นหรือไม่ เพราะหากทราบรหัสสาธารณะ ด้วยการใช้ลอการิทึมแยก เราสามารถรับรหัสส่วนตัวได้ ดังนั้นเราจึงมีปัญหา

มีค่าลับสองค่าที่เกี่ยวข้องกับลายเซ็น ECDSA: ค่าระยะยาวหนึ่งค่าและค่าหนึ่งแบบใช้ครั้งเดียว ในสัญกรณ์ของ บทความวิกิพีเดีย ECDSAมีคีย์ส่วนตัว (การเซ็นชื่อ) $d_a$ และรหัสสาธารณะ (การยืนยัน) ที่สอดคล้องกัน $Q_A$ ซึ่งเกี่ยวข้องกับคีย์ส่วนตัวโดย $Q_A=d_AG$ ที่ไหน $G$ เป็นเครื่องกำเนิดที่รู้จักกันทั่วไปสำหรับกลุ่มเส้นโค้งวงรี ควรเลือกกลุ่มเส้นโค้งวงรีเพื่อให้ฟื้นตัว $d_A$ จาก $Q_A$ เป็นไปไม่ได้ สิ่งนี้เรียกว่าปัญหาลอการิทึมไม่ต่อเนื่องเส้นโค้งวงรี

อย่างไรก็ตาม ในการสร้างลายเซ็นแต่ละรายการจะมีค่าอื่นอีก $k$ ซึ่งต้องเป็นความลับ เนื่องจากลายเซ็นจะสร้างค่าสองค่า $(ร,ส)$ ซึ่งตอบสนองความ $$ks\equiv h+rd_A\pmod\ell$$ ที่ไหน $h$ คือค่าแฮช (ทราบ) ของข้อมูลที่ลงนาม ถ้า $k$ เป็นที่รู้จักแล้ว $d_A$ สามารถคำนวณได้จากสมการข้างต้น นอกจากนี้หากเหมือนกัน $k$ มีการใช้ค่าในสองลายเซ็นที่แตกต่างกันเหมือนกัน $r$ มูลค่าถูกสร้างขึ้นเพื่อให้ลายเซ็นเป็น $(r,s_1)$และ $(r,s_2)$. เราก็มี $$s_1h_2+s_1rd_A\equiv s_2h_1+s_2rd_A\pmod\ell\ลูกศรขวา s_1h_2-s_2h_1\equiv (s_2-s_1)rd_A\pmod\ell$$ และอีกครั้ง $d_A$ สามารถกู้คืนได้

แม้ว่า $Q_A$ (และด้วยเหตุนี้ $d_A$) สามารถใช้ได้หลายครั้ง จำเป็นอย่างยิ่งที่แต่ละครั้ง $k$ จะใช้มากที่สุดครั้งเดียว การไม่ทำเช่นนี้นำไปสู่การเสียชื่อ PS3 ล้มเหลว ท่ามกลางคนอื่น ๆ.