Hãy xem xét một biến thể tương đương của chữ ký Schnorr thông thường để ký một thông điệp $m$. tôi giả sử $s$ là một bí mật entropy đủ cao, và do đó $S$ không thể cưỡng bức.
Chữ ký sẽ là cặp $(B=bG,\ p=c\cdot s-b)$. Nó sẽ được xác minh bằng cách kiểm tra xem $B\overset{?}{=}cS-pG$, ở đâu $c = H(B \mathbin\| m)$.
Bạn đang xóa thử thách $c$, vì vậy bất lợi đầu tiên là bạn không còn có thể ký một tin nhắn. Bạn chỉ có thể chứng minh rằng bạn biết $s$.
Do đó, bạn có cặp $(B=bG,\ p=s-b)$, và xác minh là $pG\overset{?}{=}S-B$.
Thách thức cũng là một phần của phương pháp phỏng đoán Fiat-Shamir đã ngăn chặn $B$ từ được tính toán sau đó các thách thức $c$ đã được chọn. Do đó, sẽ có vấn đề nếu Bob có thể khai báo khóa công khai của mình $B$ sau đó $S$ đã được công bố. Bob có thể chỉ cần chọn một ngẫu nhiên $p$ giá trị, xác định $B=S-pG$, và tuyên bố khóa công khai của mình là $B$. Điều này có thể được giải quyết theo hai cách: 1. Bob phải khai báo $B$ trước $S$ được tuyên bố. 2. Bob được yêu cầu cung cấp chữ ký chứng minh kiến thức về $b$ như vậy mà $B\overset{?}{=}bG$.
Giả sử khóa công khai của Bob đã được khai báo trước $S$ được khai báo, do đó bạn có một cách hợp lệ để chứng minh kiến thức về $s$. Như bạn đã chỉ ra, Alice có thể học khóa bí mật của Bob một cách tầm thường $b$. Do đó, điều này không đáp ứng định nghĩa về kiến thức bằng không, yêu cầu "không tiết lộ thông tin hoặc bất kỳ thông tin bổ sung".
Do đó, cấu trúc của bạn có định nghĩa tương tự như một "chữ ký bộ điều hợp", bởi vì "lược đồ chữ ký bộ điều hợp có thể xác thực thư, nhưng đồng thời làm rò rỉ bí mật cho một số bên nhất định". Lược đồ của bạn không ký thư, nhưng nó chứng tỏ kiến thức về $s$ trong khi rò rỉ có thể kiểm chứng $b$ đến Alice.
Lưu ý rằng cũng có thể có vấn đề với lược đồ của bạn khi có bí mật thứ hai $s'$, và vì lý do nào đó $s'-s$ trở nên nổi tiếng.
