<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 6, 2017 at 8:22 AM, Georgi Guninski <span dir="ltr"><<a href="mailto:guninski@guninski.com" target="_blank">guninski@guninski.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
In ECDSA, the signature of number H is pair (r,s).<br>
Without knowing the private key and any signature made with the key,<br>
one can sign:<br>
<br>
1. "random garbage" (there is some complicated structure in it)<br>
2. H=0<br>
3. H=r<br>
4. H=s<br>
<br>
Is this known and/or trivial?<br>
<br>
Attached are some Sage example for bitcoin's curve SEC256k1.<br>
<br>
Would someone confirm or deny the examples with X=111 and unknown<br>
private key indeed work?<br>
<br>
Taking challenges:  give the public key Q_A=(x,y) on the curve.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">​It is the property that gives rise to the malleability property (I think)</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Yes you can create a valid ECDH signature for garbage. But the garbage ​does not match the hash of any data you know the value of.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">And yes, it is known because this is the mechanism that it is claimed was used to empty Mt Gox.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">ECDSA includes the hash function. It is not an optional part.</div><br></div><div> </div></div></div></div>