Mondjuk nem egészen biztos, hogy nyugodt vagyok: azt mondja, hogy ha a generált 521-bites pszeudovéletlen értékből első 9 bit nulla, akkor 60 minta elég a privátkulcs (PK) visszaallításához.
Lehetséges-e, hogy átlagosan 1:512 eséllyel hibátlan véletlenszám-generátorral is nulla legyen az első 9 bit, ami azt sugallná, hogy átlagosan 512*60=30720 eset kell a PK visszaállításához.
Szerk: úgy vélem hallani, hogy ez azért nem gond, mert ez az egyszer-használatos érték (nonce) nem látszik a kommunikációban, tehát a rosszfickó nem tudja, hogy a 30720 esetből melyik 60-at válassza ki. (binom(30720,60)=2e187)