8.4. Signature Malleability (Signatur-Manipulierbarkeit)

Manche Systeme setzen voraus, dass Signaturen nicht manipulierbar (not malleable) sind: Gegeben eine gültige Signatur für eine Nachricht unter einem Schlüssel, kann der Angreifer keine weitere gültige Signatur für dieselbe Nachricht und denselben Schlüssel erzeugen.

Ed25519- und Ed448-Signaturen sind nicht manipulierbar, weil bei der Verifikation geprüft wird, dass das dekodierte S kleiner als l ist. Ohne diese Prüfung könnte man ein Vielfaches von l zum Skalarteil addieren und die Signaturverifikation dennoch bestehen, was zu manipulierbaren Signaturen führte.

8.4. Signature Malleability (Signatur-Manipulierbarkeit)​

8.4. Signature Malleability (Signatur-Manipulierbarkeit)