Aller au contenu principal

8.5. Choice of Signature Primitive (Choix de la primitive de signature)

8.5. Choice of Signature Primitive (Choix de la primitive de signature)

Ed25519 et Ed25519ph ont une résistance nominale de 128 bits, tandis qu'Ed448 et Ed448ph ont une résistance de 224. Si la résistance inférieure suffit pour l'avenir prévisible, le niveau supérieur apporte une certaine marge face à d'éventuelles avancées cryptographiques. Les deux sont vaincus par les ordinateurs quantiques à peu près au même degré.

Les variantes Ed25519ph et Ed448ph sont pré-hachées (prehashed). C'est surtout utile pour l'interopération avec des API héritées, car dans la plupart des cas, soit la quantité de données signées n'est pas grande, soit le protocole peut digérer les données mieux qu'un simple pré-hachage (par exemple hachage en arbre ou découpage des données). Le pré-hachage rend aussi les fonctions beaucoup plus vulnérables aux faiblesses des fonctions de hachage utilisées. Ces variantes NE DEVRAIENT PAS être utilisées.

Ed25519ctx et Ed448 ont des contextes. Cela se compense toutefois avec les problèmes indiqués à la section 8.3 concernant les contextes.

Côté implémentation, Ed25519 est largement déployé et dispose de nombreuses implémentations de qualité. Les autres sont beaucoup moins bien supportées.

En résumé, si un niveau de sécurité élevé de 128 bits suffit, l'utilisation d'Ed25519 est RECOMMANDÉE ; sinon, Ed448 est RECOMMANDÉ.

Dernière mise à jour le