8.4. Signature Malleability (签名可塑性)
8.4. Signature Malleability (签名可塑性)
某些系统假定签名是不可塑的 (not malleable): 也就是说, 给定某条消息在某密钥下的有效签名, 攻击者无法为同一消息和同一密钥产生另一条有效签名。
由于验证会检查解码后的 S 小于 l, Ed25519 与 Ed448 签名不可塑。若无此检查, 攻击者可以在标量部分加上 l 的倍数而仍能通过签名验证, 从而产生可塑签名。
某些系统假定签名是不可塑的 (not malleable): 也就是说, 给定某条消息在某密钥下的有效签名, 攻击者无法为同一消息和同一密钥产生另一条有效签名。
由于验证会检查解码后的 S 小于 l, Ed25519 与 Ed448 签名不可塑。若无此检查, 攻击者可以在标量部分加上 l 的倍数而仍能通过签名验证, 从而产生可塑签名。