8.9. Use of SHAKE256 as a Hash Function (Verwendung von SHAKE256 als Hashfunktion)

Ed448 verwendet SHAKE256 als Hashfunktion, obwohl SHAKE256 ausdrücklich nicht als Hashfunktion definiert ist.

Die erste potenziell problematische Eigenschaft ist, dass kürzere Ausgaben Präfixe längerer sind. Das ist akzeptabel, weil die Ausgabelängen fest sind.

Die zweite potenziell problematische Eigenschaft ist, dass übliche Hash-Sicherheitsbegriffe (insbesondere bezüglich Urbildern (preimages)) nicht erfüllt werden. Das geschätzte Sicherheitsniveau von 256 Bit gegen Kollisionen und Urbilder reicht jedoch aus, um es mit einer elliptischen Kurve auf 224-Bit-Niveau zu koppeln.

8.9. Use of SHAKE256 as a Hash Function (Verwendung von SHAKE256 als Hashfunktion)​

8.9. Use of SHAKE256 as a Hash Function (Verwendung von SHAKE256 als Hashfunktion)