Și din punct de vedere al securității, creșterea aleatoriei nu ar trebui să facă diferența.
Există două motive pentru a „întoarce” mai degrabă decât să facem o logică specială.
Primul motiv este reducerea cantității de coduri speciale „greu de testat”. Orice modalitate de „incrementare”. $k$' ar implica cod care este extrem de rar rulat (și pentru care ar fi greu de conceput teste unitare). Orice astfel de cod greu de atins este o locație fertilă pentru erori de codare nedetectate și, prin urmare, ar trebui evitat dacă este posibil. În schimb, întoarcerea și reluarea în esență a aceleiași proceduri este considerabil mai puțin predispusă la erori.
Celălalt motiv este că reutilizarea datelor care au fost considerate „inacceptabile” se poate scurge.
De exemplu, să presupunem că adversarul este capabil să detecteze când are loc o astfel de creștere (de exemplu, prin monitorizarea atentă a timpului necesar pentru a genera o astfel de semnătură), și de fapt se întâmplă deoarece $s=0$. Dacă da, tocmai am scăpat cheia privată.
Iată cum se întâmplă asta: în prima iterație, calculăm $s = k^{-1}( z + rd_A )$ și găsiți că este 0. Deci, noi așa $r' = ((k+1)G)_x$ în schimb și scoateți asta (și continuați să calculați $s'$, pe care acest atac nu îl folosește).
Ceea ce poate face atacatorul este să reconstruiască punctul $(k+1)G$ din coordonata x pe care tocmai i-am dat-o (de fapt, este unul din cele două puncte; asta înseamnă doar că le încearcă pe ambele); care îi permite apoi să recalculeze $kG$, și astfel originalul $r$
Acum, el știe asta $k^{-1}(z + rd_A) = 0$, acum $k^{-1} \ne 0$ (inversurile nu sunt niciodată zero), și așa $d_A = -r^{-1}z$; el stie $z$ (din mesajul care a fost semnat) și $r$, care îi oferă cheia privată $d_A$.
Acum, dacă selectăm un complet aleatoriu $k$ de fiecare dată, nu trebuie să ne îngrijorăm cu privire la atacuri neevidente ca acesta.
Acum, în practică, asta $s=0$ în esență, condiția nu se întâmplă niciodată (se întâmplă cu aceeași probabilitate ca o presupunere aleatorie a cheii private să fie corectă), așa că s-ar putea părea că nu trebuie să ne facem griji. Aș avea în continuare încredere în metoda mai puțin predispusă la erori și mai sigură, chiar dacă durează mai mult timp (și dacă nu se întâmplă aproape niciodată, timpul necesar este de obicei irelevant).