8.6. Mixing Different Prehashes (混用不同的预哈希)

本文档所述方案旨在抵抗混用预哈希 (mixing prehashes)。也就是说, 即使原始被签名的消息可由攻击者选择, 也不可行找到一条消息使其在另一方案下用同一签名仍能通过验证。因此, 同一密钥对可同时用于 Ed25519, Ed25519ctx 与 Ed25519ph, Ed448 与 Ed448ph 同理。

常量字符串 SigEd25519 no Ed25519 collisions 被选为不能解码为点的文本。因为 Ed25519 签名中的内部哈希 (inner hash) 输入总是以有效点开头, 无法构造平凡碰撞 (trivial collision)。在种子哈希 (seed hash) 的情形下, 即使攻击者选择所有输入, 平凡碰撞也极不可能发生, 相比之下更可能发生其他灾难性故障。