8.5. Choice of Signature Primitive (署名プリミティブの選択)

8.5. Choice of Signature Primitive (署名プリミティブの選択)

Ed25519 と Ed25519ph の公称強度は 128 ビットであり, Ed448 と Ed448ph は 224 である。低い方の強度でも当面は十分だが, 高い方は将来の暗号学的進展に対する余裕を与える。いずれも量子コンピュータの前ではほぼ同様に破られる。

Ed25519ph と Ed448ph 変体はプリハッシュ済み (prehashed) である。主にレガシー API との相互運用に有用で, 多くの場合は署名データ量が大きくないか, プロトコル側が単純なプリハッシュより良い要約 (例: 木ハッシュやデータ分割) を行える。プリハッシュは, 用いるハッシュ関数の弱点に対して関数をはるかに脆弱にする。これらの変体は用いるべきではない (SHOULD NOT)。

Ed25519ctx と Ed448 はコンテキストを持つ。ただし, セクション 8.3 で述べたコンテキストに関する問題とのトレードオフになる。

実装の観点では, Ed25519 は広く実装され高品質な実装が多い。他は支持がはるかに劣る。

要するに, 128 ビットの高いセキュリティレベルで足りるなら Ed25519 の利用が推奨される (RECOMMENDED)。そうでなければ Ed448 の利用が推奨される (RECOMMENDED)。