Ideea este că tu (și eu) nu am citit corect documentul;
În partea dvs. citată, ei au în vedere atacarea variantei semnăturii Schnorr. Pentru a simplifica, voi folosi o notație mai scurtă ca $H(m)$
Da, ei iau în considerare coliziunea pentru atac. Dacă există o semnătură $semn(prv,H(m))$ și vrei să forjați ai nevoie de atacurile pre-imagine asupra funcției hash $H$ ca să poți pretinde că $m'$ acesta a fost mesajul dorit.
În partea citată a documentului Bip340, acesta este cazul. Doriți ca cosemnatarul dvs. să semneze un mesaj pe care în mod normal nu vrea să îl semneze. Deci găsiți niște perechi de coliziune $m_i \neq m'_i$ astfel încât $H(m_i) = H(m'_i)$ cu proprietate suplimentară; cosemnatarul tău va semna pentru $m_i$ dar nu pentru $m'_i$ pentru care al doilea este în beneficiul tău, dar nu al lor. Nu vor fi bănuiți $m_i$ să semnezi și ei vor semna și tu vei folosi $m'_i$ ca mesaj semnat pentru a obține un avantaj față de cosemnatarul dvs.
mai târziu au scris ca;
Deoarece am dori să evităm fragilitatea care vine cu hashurile scurte, the $e$ varianta nu oferă avantaje semnificative. Noi alegem $R$-opțiune, care acceptă verificarea lotului.
Dacă te angajezi $m$ înainte de semnătură, atunci nici coliziunea, nici imaginile prealabile nu vor funcționa. Sa vedem;
În acest caz, cosemnatarul rău intenționat trebuie să atace $commit$ pentru a găsi un al doilea mesaj $m'$ astfel de $H(m) = H(m')$, adică executați un al doilea atac înainte de imagine și acesta va rămâne valabil pentru $\text{hash}(R || P || m) = \text{hash}(R || P || m')$, de asemenea. Deloc posibil.