Forma ecuației semnăturii digitale a curbei eliptice poate fi mai simplă?

Sunt curios de ce ecuațiile de semnare/validare cu ECDSA au forme pe care le au. Este posibil să folosiți ecuații mai simple care au aceleași proprietăți.

De exemplu, aceasta este o ecuație pe care am găsit-o în cartea despre Bitcoin:

$$ s = (z + re)/k $$ Unde,

$r = x\_coordonata\_de(k \cdot G)$,

$e$ - cheie privată,

$z$ - mesaj hash,

$k$ - Număr aleatoriu,

$(s, r)$ - semnătură

Ceea ce este interesant este că lucrarea originală pentru ECDSA folosește o formulă puțin diferită:

$$ s = k / (z + re) $$

Întrebare

Dar este posibil să folosești ceva și mai simplu? De exemplu:

$$ s = k/ze $$

Și apoi putem verifica prin validare că următoarea ecuație este valabilă:

$$ s \cdot z \cdot P = r, $$ Unde $P = e \cdot G$ este cheie publică.

De ce trebuie să încorporăm $r$ in formula? Și de ce ar trebui să fie încorporat prin adunare, dar nu prin înmulțire, de exemplu?

Problema aici este că cunoașterea cheii private nu ar fi necesară pentru a produce semnături. Cu alte cuvinte, falsurile ar fi banale de produs.

Dacă procesul de verificare este $$\mathrm{x\_coordonate}(szP)=r$$ atunci pot alege pur și simplu orice valoare de $s$, calculați RHS și pretindeți că ca fiind $r$ valoare pentru semnătura mea. Rețineți că cunoașterea $e$ nu a fost folosit.

În mod similar, dacă procesul de verificare este $$\mathrm{x\_coordonate}(srzP)=r$$ Pot alege orice valoare de $t$, calculează $tzP$ și selectați $x$-coordona pt $r$ apoi setați $s=t/r$.

Neincluzând pe amândouă $G$ și $P$ în procesul de verificare, în esență eliminați orice dependență de $e$. Probleme similare apar cu vulnerabilitatea curbe.