Passa al contenuto principale

8.6. Mixing Different Prehashes (Mescolanza di pre-hash diversi)

8.6. Mixing Different Prehashes (Mescolanza di pre-hash diversi)

Gli schemi descritti in questo documento sono progettati per resistere alla mescolanza di pre-hash (mixing prehashes). Cioè, non è fattibile trovare un messaggio che verifichi usando la stessa firma sotto un altro schema, anche se il messaggio firmato in origine è stato scelto. Si può quindi usare la stessa coppia di chiavi per Ed25519, Ed25519ctx e Ed25519ph e analogamente per Ed448 e Ed448ph.

La costante SigEd25519 no Ed25519 collisions è scelta come stringa testuale che non decodifica come punto. Poiché l'input dell'hash interno (inner hash) nella firma Ed25519 inizia sempre con un punto valido, non si può costruire una collisione banale (trivial collision). Nel caso dell'hash del seed, le collisioni banali sono così improbabili, anche con l'attaccante che sceglie tutti gli input, che è molto più probabile che qualcos'altro vada catastroficamente storto.

Ultimo aggiornamento il