Passa al contenuto principale

8.5. Choice of Signature Primitive (Scelta della primitiva di firma)

8.5. Choice of Signature Primitive (Scelta della primitiva di firma)

Ed25519 e Ed25519ph hanno una resistenza nominale di 128 bit, mentre Ed448 e Ed448ph hanno resistenza 224. Se la resistenza inferiore è sufficiente per il futuro prevedibile, il livello superiore offre qualche margine contro possibili progressi crittografici. Entrambi sono demoliti dai computer quantistici in sostanza allo stesso modo.

Le varianti Ed25519ph e Ed448ph sono pre-hashate (prehashed). Ciò è utile soprattutto per l'interoperabilità con API legacy, poiché nella maggior parte dei casi o la quantità di dati firmati non è grande o il protocollo può effettuare digest in modi migliori del semplice pre-hash (ad esempio hash ad albero o suddivisione dei dati). Il pre-hash rende inoltre le funzioni molto più vulnerabili alle debolezze delle funzioni di hash usate. NON DOVREBBERO essere usate queste varianti.

Ed25519ctx e Ed448 hanno contesti. Ciò va però bilanciato con i problemi indicati nella sezione 8.3 sui contesti.

Sul fronte implementativo, Ed25519 è ampiamente implementato e ha molte implementazioni di alta qualità. Le altre varianti hanno un supporto molto peggiore.

In sintesi, se un elevato livello di sicurezza a 128 bit basta, si RACCOMANDA l'uso di Ed25519; altrimenti, si RACCOMANDA Ed448.

Ultimo aggiornamento il