Рассмотрим эквивалентный вариант обычной подписи Шнорра, которой подписывается сообщение $м$. Я предполагаю, что $s$ является достаточно высокоэнтропийным секретом, и поэтому $S$ не может быть грубой силой.
Подпись будет пара $(B=bG,\ p=c\cdot s-b)$. Это можно было бы проверить, проверив, что $B\overset{?}{=}cS-pG$, куда $c = H(B \mathbin\| m)$.
Вы снимаете вызов $с$, поэтому первый недостаток заключается в том, что вы больше не можете подписывать сообщения. Вы можете только доказать, что знаете $s$.
Таким образом, у вас есть пара $(B=bG,\ p=s-b)$, а проверка $pG\overset{?}{=}S-B$.
Задача также была частью эвристики Fiat-Shamir, которая предотвратила $В$ от расчета после соревнование $с$ был выбран. Поэтому возникает проблема, если Боб может объявить свой открытый ключ $В$ после $S$ было объявлено. Боб мог просто выбрать случайный $р$ стоимость, определить $B=S-pG$, и заявить, что его открытый ключ $В$. Это можно решить двумя способами: 1. Боб должен объявить $В$ до $S$ объявляется. 2. Боб должен предоставить подпись, подтверждающую знание $b$ такой, что $B\overset{?}{=}bG$.
Предположим, что открытый ключ Боба был объявлен до $S$ будучи объявленным, у вас есть действительный способ доказать знание $s$. Как вы указали, Алиса может тривиально узнать закрытый ключ Боба. $b$. Следовательно, это не соответствует определению нулевого знания, которое требует «без раскрытия самой информации или любая дополнительная информация".
Таким образом, ваша конструкция аналогична по определению "подпись адаптера", потому что "схема подписи адаптера может аутентифицировать сообщения, но одновременно раскрывает секрет определенным сторонам". Ваша схема не подписывает сообщения, но подтверждает знание $s$ при достоверной утечке $b$ Алисе.
Обратите внимание, что также могут быть проблемы с вашей схемой, где есть второй секрет. $s'$, и почему-то $s'-s$ становится известным.
