Дело в том, что вы (и я) не прочитали документ должным образом;
В вашей цитируемой части они рассматривают атакующий вариант подписи Шнорра. Для упрощения я буду использовать более короткую запись как $Ч(м)$
Да, они считают столкновение за нападение. Если есть подпись $ знак (прв, Н (м)) $ а вы хотите подделать вам нужны прообразные атаки на хэш-функцию $Ч$ так что вы можете утверждать, что $м'$ это было предполагаемое сообщение.
В цитируемой части документа Bip340 дело обстоит именно так. Вы хотите, чтобы ваш со-подписант подписал сообщение, которое он обычно не хочет подписывать. Итак, вы нашли несколько пар столкновений $m_i \neq m'_i$ такой, что $H(m_i) = H(m'_i)$ с дополнительным имуществом; ваш поручитель подпишется за $m_i$ но не для $m'_i$ для которого второй в вашу пользу, но не их. У них не возникнет подозрений $m_i$ подписать, и они подпишут, и вы будете использовать $m'_i$ как подписанное сообщение, чтобы получить преимущество перед вашим со-подписантом.
позже писали как;
Поскольку мы хотели бы избежать хрупкости, связанной с короткими хэшами, $е$ вариант не дает существенных преимуществ. Мы выбираем $R$-опция, которая поддерживает пакетную проверку.
Если вы совершаете $м$ до подписи, то ни коллизия, ни прообразы работать не будут. Дай посмотреть;
В этом случае злоумышленник должен атаковать $коммит$ чтобы найти еще одно второе сообщение $м'$ такой $Н(м) = Н(м')$, т. е. выполнить вторую атаку по прообразу, и это будет выполняться в течение $\text{хэш}(R || P || m) = \text{хэш}(R || P || m')$, тоже. Совсем не возможно.