EdDSA cu o singură trecere rezistent la coliziuni?

Există vreun motiv pentru care variantele rezistente la coliziuni ale ed25519 care utilizează o singură trecere nu sunt folosite în schimb? De exemplu:

$n = h(noncekey \| m)$

$h(R \| pub \| n)$ în loc de $h(R \| pub \| m)$

sau, alternativ, dacă vrem să nu schimbăm algoritmul EdDSA în sine și să implementăm în schimb rezistența la coliziune pe deasupra:

Lăsa $n'$ să fie un număr de 256 de biți generat aleatoriu de semnatar:

$sig = n' \| S_{priv}(h(n' \| m))$

În ambele scheme (dacă nu mă înșel) un atacator care solicită un mesaj $m$ să fie semnat de semnatar (cum ar fi în cazul semnării certificatului) nu ar trebui să poată păcăli semnatarul să genereze o semnătură care poate fi utilizată cu un mesaj $m'$ Unde $m \neq m'$ dacă $h$ nu este rezistent la coliziune.