ประเด็นคือคุณ (และฉัน) อ่านเอกสารไม่ถูกต้อง
ในส่วนที่คุณยกมา พวกเขาพิจารณาโจมตีตัวแปรลายเซ็น Schnorr เพื่อให้ง่ายขึ้น ฉันจะใช้สัญกรณ์ที่สั้นกว่าเป็น $H(ม.)$
ใช่ พวกเขาพิจารณาการปะทะกันเพื่อการโจมตี ถ้ามีลายเซ็น $เครื่องหมาย(prv,H(m))$ และคุณต้องการปลอมแปลงคุณต้องมีการโจมตีภาพล่วงหน้าในฟังก์ชันแฮช $H$ เพื่อให้คุณสามารถเรียกร้องได้ $m'$ เป็นข้อความที่ต้องการ
ในส่วนที่ยกมาของเอกสาร Bip340 เป็นกรณีนี้ คุณต้องการให้ผู้ร่วมลงนามลงนามในข้อความที่โดยปกติแล้วพวกเขาไม่ต้องการลงนาม คุณจึงหาคู่ชนกัน $m_i \neq m'_i$ ดังนั้น $H(m_i) = H(m'_i)$ พร้อมทรัพย์สินเพิ่มเติม ผู้ลงนามของคุณจะลงนาม $m_i$ แต่ไม่ใช่สำหรับ $m'_i$ ซึ่งประการที่สองเป็นไปเพื่อประโยชน์ของท่านแต่มิใช่ประโยชน์แก่ตน พวกเขาจะไม่ระแวง $m_i$ เพื่อลงนามและพวกเขาจะลงนามและคุณจะใช้ $m'_i$ เป็นข้อความที่ลงนามเพื่อให้ได้เปรียบกับผู้ลงนามร่วมของคุณ
ภายหลังพวกเขาเขียนเป็น;
เนื่องจากเราต้องการหลีกเลี่ยงความเปราะบางที่มาพร้อมกับแฮชสั้น $e$ ตัวแปรไม่ได้ให้ข้อได้เปรียบที่สำคัญ เราเลือกที่ $R$- ตัวเลือกซึ่งรองรับการตรวจสอบแบทช์
หากคุณมุ่งมั่น $m$ ก่อนลายเซ็น การชนกันหรือภาพล่วงหน้าจะไม่ทำงาน มาดูกัน;
ในกรณีนี้ ผู้ลงนามร่วมที่เป็นอันตรายจำเป็นต้องโจมตี $คอมมิชชั่น$ เพื่อค้นหาข้อความที่สอง $m'$ เช่น $H(ม.) = H(ม.')$เช่น ดำเนินการโจมตีภาพล่วงหน้าครั้งที่สองและการดำเนินการนี้จะคงอยู่ต่อไป $\text{hash}(R || P || m) = \text{hash}(R || P || m')$, ด้วย. เป็นไปไม่ได้เลยทีเดียว