Одна из схем имеет меньший размер открытого ключа, а другая — меньший размер подписи. Тогда какая схема предпочтительнее на практике?
Это зависит (очевидно); в некоторых случаях это не имеет значения; в других случаях лучше использовать меньшие подписи; в некоторых неясных ситуациях меньшие открытые ключи могут быть лучше.
Случаи, когда это не имеет значения, это когда открытый ключ и подпись всегда появляются вместе (например, в сертификате); в этом случае оба ваших примера займут $513N$ бит, и поэтому оба они одинаково затратны (с точки зрения пространства, и вы не даете никакого другого способа различить две схемы).
Случаи, когда меньшие подписи лучше, — это когда ограничением является общая пропускная способность, и люди могут кэшировать большой открытый ключ (и поэтому его не нужно передавать). В вашем примере, если каждое устройство может хранить $512N$ открытый ключ, то все, что им нужно для передачи, — это 512-битные подписи, и это значительно дешевле.
Случай, когда меньшие открытые ключи лучше? Что ж, рассмотрим случай, когда устройства ограничены до такой степени, что у них нет места для хранения $512N$ битовый открытый ключ; кроме того, логика проверки подписи способна обрабатывать подпись в секциях [1], так что ей не нужно хранить все сразу. В таком случае передача $512N$ битовые подписи на самом деле работают лучше; общая пропускная способность значительно больше, однако в данном случае это не то ограничение, для которого мы оптимизируем; вместо этого мы оптимизируем возможности наших ограниченных устройств.
[1]: И, если вам интересно, да, такие системы подписей действительно существуют — подписи на основе хэшей — один из примеров.
