Cu toate acestea, nu am reușit să găsesc o modalitate de a abuza de asta și speram că cineva mă poate îndruma în direcția corectă. Mai exact, așa cum văd eu, suma de control mă împiedică să falsific o semnătură chiar dacă două mesaje diferite au fost semnate cu aceeași cheie. De ce nu este cazul?
Să luăm un exemplu destul de simplificat; luați în considerare cazul în care există o singură cifră WOTS utilizată pentru a exprima hash-ul (și, prin urmare, o singură cifră WOTS pentru a exprima suma de control); pentru acest exemplu, vom avea $W=16$.
Primul mesaj pe care îl semnăm este valoarea hash 2; asta înseamnă că publicăm $H^2(x)$ (Unde $x$ este din cheia privată), împreună cu suma de control 14, pe care o publicăm ca $H^{14}(y)$ (Unde $y$ este și de la cheia privată)
Acum, semnăm (cu aceeași cheie privată) valoarea hash 13; înseamnă că publicăm $H^{13}(x)$ și suma de control $H^3(y)$.
În acest moment, atacatorul are suficiente informații pentru a genera un fals pentru (să zicem) valoarea hash 7. Pentru a face asta, ar lua $H^2(x)$ valoare de la prima semnătură (pe care o vom numi $a$) și calculați $H^5(a)$; el ar lua $H^3(y)$ de la a doua semnătură (pe care o vom numi $b$) și calculați $H^6(b)$. Perechea $H^5(a), H^6(b)$ este egal cu $H^7(x), H^9(y)$, la fel și o semnătură validă pentru 7, chiar dacă atacatorul nu are idee pentru ce valori sunt $x$ și $y$ sunt.
Acest atac se extinde cu ușurință la sistemul WOTS real (unde un mesaj este exprimat în mai multe cifre), iar modificarea WOTS+ (care aduce o valoare unică pentru fiecare invocare hash) nu îngreunează de fapt munca atacatorului.
