给定多个不完整的ECDSA签名，量子攻击者在下列情况下可以学到什么？

Question

假设与Secp256k1和SHA-256一起使用256位ECDSA私钥.该密钥以完全确定的方式对多个不同的消息进行签名，如RFC-6979所述，因此，对同一消息进行签名总是会产生相同的签名。

让我们分析涉及量子攻击者的四种威胁模型：

1. 它们获得每个签名的前32个字节。然而，每个签名、消息、私钥和公钥的其余部分仍然对它们隐藏。而且，他们不知道签名是用相同的私钥生成的。1.1。攻击者能证明不完整的签名是用相同的私钥生成的吗? 1.2。攻击者可以计算什么(消息、公钥、私钥)？
2. 模型与第一个问题相同，但他们知道，对于所有不完整的签名，都使用了相同的私钥。攻击者能计算出什么？
3. 模型与第一个问题相同，但他们知道所有的消息，知道哪个不完整的签名对应于哪个消息。3.1。攻击者能证明不完整的签名是用相同的私钥生成的吗? 3.2。攻击者能计算出什么？
4. 模型与第三个问题相同，但他们知道，所有不完整的签名都使用相同的私钥。攻击者能计算出什么？

Edit1:添加了签名完全确定性的细节。

Edit2:按照@DannyNiu的建议，我将我的其他类似问题104193和104194合并到了这个问题中。最初的问题是第二个问题，不同的是攻击者获得了完整的签名。

Answer 1

它们获得每个签名的前32个字节。

您的所有场景都是这样假设的，因此让我们深入研究它。

对于使用RFC-6979的ECDSA，它获取消息和私钥，并生成前32个字节为F( message, privatekey ) ，其中F是一个公共的、不可逆转的函数；也就是说，通过知道输出，您就不能重构消息(甚至消息的哈希)或私钥；即使对假设的量子攻击者来说也是如此。即使是F的两个输出，也无法确定输入是如何关联的(当然，除非完全重复)。

这样，我们就可以简短地回答你的问题：

1.1。攻击者能证明不完整的签名是用相同的私钥生成的吗？

如果两个签名消息碰巧是相同的，并且是由相同的键签名的，那么这将是显而易见的(当然，两个签名将共享相同的32个字节)。否则，不行；F不允许这样的测试。

1.2。攻击者可以计算什么(消息、公钥、私钥)？

不，F没有泄露任何东西

1. 攻击者知道使用了相同的私钥。攻击者能计算出什么？

同样的答案；没有。

3.1。攻击者能证明不完整的签名是用相同的私钥生成的吗？

不，F不会泄露的。

3.2。攻击者能证明不完整的签名是用相同的私钥生成的吗？

不，F不会泄露

1. 他们知道，所有不完整的签名都使用相同的私钥。攻击者能计算出什么？

什么都没有，F没有泄露任何信息。

现在，所有这些假设攻击者不会以某种方式猜测私钥--如果他猜到了，那么他就可以测试消息的猜测。