Это способствует безопасности. В частности, хэш-функция $Ч$ должен быть «устойчивым к случайному префиксу прообраза», чтобы быть защищенным от подделки «только ключ», и «случайным префиксом, устойчивым ко второму прообразу», чтобы быть защищенным от подделки известных сообщений.
Под «устойчивостью к случайному префиксу прообраза» мы подразумеваем, что при заданном выходном значении $е$ и случайный $г$, трудно найти $м$ такой, что $H(r||m)=e$ (а во втором случае прообраза, даже при наличии примера $м$, трудно найти второй пример).
Если бы это было легко, то мы могли бы выбрать произвольное $е$ и $s$ и (следуя процессу проверки Шнорра) вычислить $ г = г ^ си ^ е $ а затем решить нашу проблему прообраза для $е$ и $г$ чтобы получить сообщение $м$ для которого $(с,е)$ является действительной подписью. Обратите внимание, что мы не обязательно контролируем $м$ и поэтому эта атака является атакой только с ключом для создания экзистенциальной подделки, и схема не будет безопасной EUF-KOA.
Точно так же во втором случае прообраза мы могли бы взять существующую подпись для сообщения. $м$ и создайте второе сообщение $ м $ с $H(r||m)=H(r||mâ)$. Подпись $(с,е)$ за $м$ также будет работать как подпись для $ м $ и схема не будет безопасной для EUF-KMA.
