在BCH计算战争的第二天，一些加密货币爱好者发现了一条似乎有比特币第9块“有效签名”的消息。这条消息警告说，比特币区块链上的Segwit协议存在一些问题。此外，Coingeek的主人卡尔文艾尔(Calvin Ayre)随后在推特上发文称，“中本聪还活着！”艾尔还转发了推特账户@Satoshi的消息。

真的来自中本聪本人吗？很快比特币技术大神Greg Maxwell解释说，这其实只是克雷格赖特的第二个伪造签名：

“如果有人想公布一堆神秘的ECDSA签名，让公众认为这些签名来自比特币的创造者，从而破坏比特币蓑衣网小编2022市场，榨取人们的钱财，或者以其他方式说服人们听他的意见，又是如何实现的呢？”

麦克斯韦自己回答：

“不幸的是，鉴于公众对密码学的了解有限，造成欺诈显然是一件很容易的事情。

他们的关键技能是，非技术人员倾向于相信看起来很麻烦的事情，而技术人员往往认为自己知道的比实际知道的多得多，因此很容易陷入泥沼。

在密码学中，细节比你想象的更重要。所以，你要做的就是稍微修改一下密码学的伪造。然后，许多自认为理解ECDSA工作原理的人会急于宣称其结果是有效的。

你能想到的大部分修改都足以让方案变得不安全。

例如，几年前，克雷格赖特通过简单地从区块链复制一些预先存在的签名，并在验证签名时发出一些令人困惑的指令，证明自己是中本聪。但是很快就被曝光了，但是这种方法还是骗过了很多陷入困境的人，想当然的认为是这样。在这种情况下，“修改”是欺诈者声称要签名的消息，与实际签名的消息无关。

最近，他似乎又尝试了一次，但这一次“签名”不是来自区块链……这导致BCH客户端的一些开发人员向RedHat的一名工程师“求证”。但事实证明，这个签名还是伪造的，人们对密码学的理解还不够深入，导致再次被骗。

正如比特币开发者Pieter Wuille所说，“ECDSA签名消息不是哈希，而是‘签名人’选择的东西是不安全的。“

这一次，诈骗分子放出了‘hash’，r，s元组。ECDSA的哈希部分是算法无法获得的部分。如果验证者自己不运行哈希，ECDSA的安全属性就不成立，伪造也就变得无足轻重了。

蓑衣网小编2022

[BCH的OP_DSV操作码也出现了同样的漏洞。它一开始并没有对输入的数据进行哈希处理，而是留给了用户。但是我报了，部署之前，开发人员好像已经修好了。]

如果验证者自己不执行散列，而只接受签名者给出的值，那么给定公钥P，选择随机的非零值A和b，R=aG bP计算出来。现在，(R.x，R.x/b)是密钥P对“消息哈希”(R.x*a/b)的有效签名。

这不会危及真正ECDSA的安全，因为你找不到散列到所选(R.x * a/b)值的消息。

人们应该警惕模糊或过于技术性的“证明”(看起来像“安全系统”但出于某种原因，人们会使用原始数字或代码来验证它的东西)。精心设计的加密软件，因为做了大量的工作，可以避免用户被这样的特效忽悠。这些事情很棘手，如果他们确信自己有效地实现了定制的密码系统，任何人都可能会如此困惑，以至于接受这个假证明。一个系统不安全仅仅是因为你自己对它了解不够。

下面是一个生成伪造签名的Sage脚本示例。这些脚本将欺骗那些接受ECDSA“签名”的人，而不必自己散列消息。 它适用于任何欧盟委员会(欧洲委员会)密钥，包括伪造者之前没有看到过的签名。F=有限域(0x fffffffffffffffffffffffffffff c2f)C=椭圆曲线([F(0)，F(7)])G=C . lift _ x(0x 79 be 667 e F9 dcb BAC 55 a 06295 ce 870 b 07029 bfc db 2 DCE 28d 959 F 2815 b 16 F 81798)N=有限域(C .这段代码，就生成了最近欺骗人们的伪造签名：

有h1=2529222222169426362969760742810503101183086560848420849767135309758511048414376 R1=6151869157461623794232323268691470715343343蓑衣网小编20223你怎么看？