Zum Hauptinhalt springen

8.6. Mixing Different Prehashes (Vermischung verschiedener Vorhashes)

8.6. Mixing Different Prehashes (Vermischung verschiedener Vorhashes)

Die in diesem Dokument beschriebenen Verfahren sind so ausgelegt, dass sie gegen die Vermischung von Vorhashes (mixing prehashes) resistent sind. Das heißt, es ist nicht durchführbar, eine Nachricht zu finden, die mit derselben Signatur unter einem anderen Verfahren verifiziert, selbst wenn die ursprünglich signierte Nachricht gewählt wurde. Daher kann dasselbe Schlüsselpaar für Ed25519, Ed25519ctx und Ed25519ph und entsprechend für Ed448 und Ed448ph verwendet werden.

Die Konstante SigEd25519 no Ed25519 collisions ist so gewählt, dass sie als Text nicht als Punkt dekodiert wird. Weil die innere Hash-Eingabe (inner hash) in der Ed25519-Signatur immer mit einem gültigen Punkt beginnt, kann keine triviale Kollision (trivial collision) konstruiert werden. Im Fall des Seed-Hashs sind triviale Kollisionen selbst bei vom Angreifer gewählten Eingaben so unwahrscheinlich, dass es wahrscheinlicher ist, dass etwas anderes katastrophal schiefgeht.

Letztes Update am