Нет! Даже создание 520-битного $к$ скорее всего, это уязвимость, которую можно использовать.
Результат 2020 года по этой теме: LadderLeak: взлом ECDSA с утечкой менее одного бита одноразового номера. В §5 обсуждается оценка стоимости атаки: это практически невозможно для однобитового смещения выше P256, но большие смещения позволяют проводить более дешевые атаки, а атаки со временем становятся только лучше.
Использовать детерминированный ECDSA если у вас нет веских причин для использования рандомизированного ECDSA. Детерминированный ECDSA может использовать HMAC_DRBG как черный ящик: вам просто нужно создать экземпляр HMAC_DRBG с необходимыми параметрами. Преимущество того, что это детерминированный алгоритм, заключается в том, что если ваши тесты с известным ответом дают ожидаемые результаты, у вас есть довольно высокая степень уверенности в том, что вы правильно его реализовали.Большинство систем, использующих подписи, в любом случае имеют RNG, а HMAC_DRBG — довольно хороший DRBG (не самый быстрый, но относительно простой в реализации и совместимый с FIPS).
Если вы используете рандомизированный ECDSA, я рекомендую реализовать его, выполнив детерминированный ECDSA и добавив дополнительную случайность в HMAC_DRBG. Таким образом, если вы сделаете часть случайности неправильно, она в худшем случае деградирует до детерминированного ECDSA без риска утечки одноразового номера. Есть две причины, по которым вы можете предпочесть рандомизированный ECDSA: если это цель безопасности, чтобы злоумышленник не мог определить, относятся ли две подписи, созданные отдельно, к одному и тому же сообщению (необычная цель безопасности), или потому что это может сделать некоторые побочные каналы или слабые места внедрения ошибок, которые труднее использовать (с другой стороны, это также может упростить использование некоторых слабых мест).