8.4. Signature Malleability (Malleabilità delle firme)

Alcuni sistemi assumono che le firme non siano malleabili (not malleable): cioè, data una firma valida per un messaggio sotto una chiave, l'attaccante non può produrre un'altra firma valida per lo stesso messaggio e la stessa chiave.

Le firme Ed25519 e Ed448 non sono malleabili grazie al controllo di verifica che il S decodificato sia minore di l. Senza questo controllo, si può aggiungere un multiplo di l alla parte scalare e superare comunque la verifica della firma, ottenendo firme malleabili.

8.4. Signature Malleability (Malleabilità delle firme)​

8.4. Signature Malleability (Malleabilità delle firme)