Le firme PGP, come la maggior parte degli schemi di firma moderni, non sono deterministiche: vale a dire, firmare lo stesso messaggio due volte non porterà alla stessa firma. Per fare ciò, viene usato un nonce casuale (numero usato una volta). Il nonce ha bisogno di LOOK random, ma non c'è modo di garantire che lo sia: è possibile crittografare alcuni dati che si desidera esfiltrare con una chiave fissa, e sarebbe indistinguibile da un nonce corretto. La firma verrebbe comunque verificata, ma qualcuno "in conoscenza" potrebbe decifrare il nonce per recuperare i dati exfiltrati.
Detto questo, i nonces di solito non sono abbastanza grandi da contenere una chiave privata completa. Si potrebbe facilmente mitigare questo esfiltrando un segmento casuale della chiave privata con ogni messaggio; il destinatario potrebbe quindi ricomporre la chiave dopo aver visto abbastanza messaggi.
Modifica per il follow-up: il metodo naive descritto sopra produce ogni volta la stessa firma, un omaggio indelebile. È abbastanza facile da risolvere però. Il nonce in un protocollo è solitamente abbastanza lungo da fornire la forza crittografica, che è più che sufficiente per includere alcuni bit casuali per garantire che la firma dannosa non possa essere rilevata. Ad esempio, puoi dividere il nonce a metà; la prima metà potrebbe essere veramente casuale e l'ultima metà potrebbe essere una porzione della chiave privata crittografata con l'utilizzo della prima metà come IV. Come ulteriore miglioramento, il primo o più byte dei dati exfiltrated potrebbe essere utilizzato come offset, mostrando quale parte della chiave è trapelata in quel messaggio.