Creo que he visto un comentario de Greg Maxwell sobre esto, pero tengo problemas para encontrarlo. ¿Creo que hubo algún riesgo al firmar el mismo mensaje con la misma clave con ambos algoritmos?
En esta pregunta relacionada , veo que las salidas de la firma ECDSA (h, s)
pero las salidas de Schnorr (r, s)
. Entonces, en ECDSA, r
se mantiene como un valor secreto pero se revela en Schnorr: ¿eso hace que la clave privada sea recuperable de alguna manera?
Copiando el resumen de mi publicación en la lista de correo sobre este tema:
- Para mantenerse dentro del ámbito de la seguridad demostrable, es recomendable asegurarse de que la clave ECDSA y las claves Schnorr utilicen distintos pasos de derivación reforzados.
- Incluso si no lo hace, realmente está de regreso al nivel de seguridad que teníamos sobre las claves ECDSA BIP32 no reforzadas antes de que se conociera una prueba (que creo que la mayoría de la gente ni siquiera conoce).
No se conocen ataques contra la reutilización de claves en ECDSA y Schnorr (al menos mientras los nonces no estén relacionados o sean impredecibles, pero si ese no es el caso, también tiene un problema con la reutilización dentro de ECDSA o dentro de Schnorr).
Sin embargo, tampoco hay pruebas de seguridad para la reutilización, que yo sepa, pero eso no es realmente peor que la situación de ECDSA solo hasta hace poco.
Anunay