8.6. Mixing Different Prehashes (異なるプリハッシュの混在)

本書に記載の方式は, プリハッシュの混在 (mixing prehashes) に対して耐性があるように設計されている。すなわち, 元の署名済みメッセージが攻撃者に選ばれた場合でも, 別の方式の下で同一署名で検証に通るメッセージを見つけることは困難である。したがって, 同一鍵対を Ed25519, Ed25519ctx, Ed25519ph に, 同様に Ed448 と Ed448ph に同時に用いることができる。

SigEd25519 no Ed25519 collisions 定数は, 点としてデコードされないような文字列として選ばれている。Ed25519 署名の内部ハッシュ (inner hash) 入力は常に有効な点で始まるため, 自明な衝突 (trivial collision) を構成する余地はない。シードハッシュ (seed hash) の場合, 攻撃者がすべての入力を選んでも自明な衝突は極めて起こりにくく, 他の要因で壊滅的に失敗する方がはるかに確からしい。