Безопасен ли DSA без фактора «r»?

Если я правильно понимаю, способ DSA в группе $G$ с хэш-функцией $Ч$ работает так: Пегги (подписавшаяся) имеет пару закрытый/открытый ключ $х$, $г^х$. Для подписи она выдает случайный сеансовый ключ $к$, $г^к$ затем вычисляет подпись: $s=\frac{H(m)+xF(g^k)}{k}$ где F - некоторая "достаточно равномерная функция" $F: G \стрелка вправо \frac{\mathbb{Z}}{|G|\mathbb{Z}}$. Чтобы проверить подпись, Виктор проверяет, что $ g ^ {\ frac {H (m)} {s}} (g ^ x) ^ {\ frac {F (g ^ k)} {s}} = g ^ k $.

Мой вопрос касается фактора $ F (г ^ к) $ (названный $г$ во многих экспозициях, напр. в Википедии). Насколько это необходимо с точки зрения безопасности? Более конкретно: предположим, что Пегги должна вычислить подпись $s=\frac{H(m)+x}{k}$ (и, соответственно, Виктор вычислил бы: $ г ^ {\ гидроразрыва {Н (м)} {s}} (г ^ х) ^ {\ гидроразрыва {1} {s}} = г ^ к $). Делает ли это схему уязвимой для конкретной известной атаки?

Дубликат этот вопрос (задавался в феврале 2019 г., ответов нет). Смотрите также этот прошлый вопрос, где ответ утверждает, что столкновение в $г$ не допускает криптографического взлома.