8.9. Use of SHAKE256 as a Hash Function (SHAKE256 をハッシュ関数として用いること)

Ed448 は SHAKE256 をハッシュ関数として用いるが, SHAKE256 は定義上ハッシュ関数ではない。

第一の注意点は, 短い出力が長い出力の接頭辞になることである。出力長が固定なので許容できる。

第二の注意点は, 標準的なハッシュのセキュリティ概念 (特に原像 (preimage) について) を満たさないことである。ただし, 衝突と原像に対する推定 256 ビットのセキュリティレベルは, 224 ビット級の楕円曲線と組み合わせるには十分である。