nonce

"한 번만 쓰는 수" (number used once). ECDSA에서는 매 서명마다 `{1, …, n-1}`에서 새로 뽑은 임의 정수 `k`가 필요하다. `R = kG`를 계산한 뒤 버려진다. nonce는 `s = (h + r·d)·k⁻¹`에서 개인키를 가리는 역할 — `k`가 임의이면 `s`도 임의처럼 보인다. 두 가지 실패가 치명적. (1) 같은 키로 서명한 두 서명이 같은 `k`를 쓰면, 누구나 작은 일차연립을 풀어 `d`를 복구할 수 있다. (2) `k`가 예측 가능하면 (약한 RNG 등) 같은 복구가 통한다. 현실 지갑은 이제 `k`를 메시지와 `d`에서 *결정론적*으로 유도해 사고로 새지 않게 만든다.