8.5. Choice of Signature Primitive (签名原语的选择)

Ed25519 与 Ed25519ph 的名义强度为 128 位, 而 Ed448 与 Ed448ph 的强度为 224 位。虽然较低强度在可预见的未来已足够, 较高强度可对可能的未来密码学进展提供一些防御。两者在量子计算机面前几乎同样会被攻破。

Ed25519ph 与 Ed448ph 变体经过预哈希 (prehashed)。这主要有利于与遗留 API 互操作, 因为在大多数情况下, 要么待签名数据量不大, 要么协议能够以优于简单预哈希的方式做摘要 (例如树形哈希或将数据分块)。预哈希还会使这些函数对所用哈希函数的弱点更加脆弱。这些变体不应该 (SHOULD NOT) 使用。

Ed25519ctx 与 Ed448 带有上下文。然而, 这与第 8.3 节中关于上下文的问题相权衡。