Este DSA încă sigur fără factorul „r”?

Dacă am înțeles bine, modul DSA într-un grup $G$ cu o funcție hash $H$ funcționează: Peggy (semnatarul) are o pereche de chei private/publice $x$, $g^x$. Pentru semnare, ea produce o cheie de sesiune aleatorie $k$, $g^k$ apoi calculează semnătura: $s=\frac{H(m)+xF(g^k)}{k}$ unde F este o „funcție destul de uniformă” $F: G \rightarrow \frac{\mathbb{Z}}{|G|\mathbb{Z}}$. Pentru a verifica semnătura, Victor verifică asta $g^{\frac{H(m)}{s}}(g^x)^{\frac{F(g^k)}{s}} = g^k$.

Întrebarea mea este despre factor $F(g^k)$ (numit $r$ în multe expoziții, de ex. în Wikipedia). Cât de necesar este din punct de vedere al securității? Mai concret: să presupunem că Peggy va calcula o semnătură $s=\frac{H(m)+x}{k}$ (și, în consecință, Victor ar calcula: $g^{\frac{H(m)}{s}}(g^x)^{\frac{1}{s}} = g^k$). Acest lucru face schema vulnerabilă la un atac specific, cunoscut?

Duplicat de această întrebare (întrebat în februarie 2019, fără răspunsuri). Vezi si această întrebare trecută, unde răspunsul afirmă că o coliziune în $r$ nu permite o pauză criptografică.