<p dir="ltr">On 9 Nov 2015 10:46 am, "Jeff Burdges" <<a href="mailto:burdges@gnunet.org">burdges@gnunet.org</a>> wrote:<br>
><br>
><br>
> My friend Joe asked me about optimizing a pair of Ed25519 signatures on<br>
> the same message with both a long-term session key x and a short-term<br>
> session key y.<br>
><br>
><br>
> I warned him against dong this with x and y reversed, as then the r has<br>
> less entropy, so repeating messages would give an attack on the second<br>
> signature's private key.</p>
<p dir="ltr">From memory, doesn't this leak (x - y) mod N? So if one of x or y is compromised they both are?</p>