8.4. Signature Malleability (署名の可変性)

一部のシステムでは, 署名が可変 (malleable) でないことを前提とする。すなわち, あるメッセージとある鍵に対する有効な署名が与えられたとき, 攻撃者は同一メッセージ・同一鍵に対して別の有効な署名を作れない, という前提である。

復号した S が l 未満であることの検証により, Ed25519 と Ed448 の署名は可変ではない。この検査がなければ, スカラー部分に l の倍数を加えても署名検証に通り, 可変署名となりうる。