Tuy nhiên, tôi không thể nghĩ ra cách nào để lạm dụng điều này và hy vọng ai đó có thể chỉ cho tôi đi đúng hướng. Cụ thể, theo cách tôi thấy, tổng kiểm tra ngăn tôi giả mạo chữ ký ngay cả khi hai thư khác nhau được ký bằng cùng một khóa. Tại sao đây không phải là trường hợp?
Chúng ta hãy lấy một ví dụ khá đơn giản; xem xét trường hợp có một chữ số WOTS duy nhất được sử dụng để biểu thị hàm băm (và do đó, một chữ số WOTS duy nhất để biểu thị tổng kiểm tra); đối với ví dụ này, chúng ta sẽ có $W=16$.
Thông báo đầu tiên chúng tôi ký là giá trị băm 2; điều đó có nghĩa là chúng tôi xuất bản $H^2(x)$ (ở đâu $x$ là từ khóa riêng tư), cùng với tổng kiểm tra 14 mà chúng tôi xuất bản dưới dạng $H^{14}(y)$ (ở đâu $y$ cũng là từ khóa riêng)
Bây giờ, chúng tôi ký (với cùng khóa riêng) giá trị băm 13; điều đó có nghĩa là chúng tôi xuất bản $H^{13}(x)$ và tổng kiểm tra $H^3(y)$.
Tại thời điểm này, kẻ tấn công có đủ thông tin để giả mạo (giả sử) giá trị băm 7. Để làm điều đó, anh ta sẽ lấy $H^2(x)$ giá trị từ chữ ký đầu tiên (mà chúng tôi sẽ gọi $a$) và tính toán $H^5(a)$; anh ấy sẽ lấy $H^3(y)$ từ chữ ký thứ hai (mà chúng ta sẽ gọi $b$) và tính toán $H^6(b)$. cặp $H^5(a), H^6(b)$ bằng $H^7(x), H^9(y)$, và chữ ký hợp lệ cho 7 cũng vậy, mặc dù kẻ tấn công không biết giá trị của $x$ và $y$ là.
Cuộc tấn công này dễ dàng mở rộng sang hệ thống WOTS thực (trong đó một thông báo được thể hiện bằng nhiều chữ số) và việc sửa đổi WOTS+ (tạo ra một giá trị duy nhất cho mỗi lệnh gọi hàm băm) không thực sự khiến công việc của kẻ tấn công trở nên khó khăn hơn.
