8.9. Use of SHAKE256 as a Hash Function (将 SHAKE256 用作哈希函数)

Ed448 将 SHAKE256 用作哈希函数, 尽管 SHAKE256 在定义上明确不是哈希函数。

第一个可能令人担忧的性质是较短输出是较长输出的前缀。由于输出长度固定, 这是可接受的。

第二个可能令人担忧的性质是无法满足标准哈希安全概念 (尤其是原像 (preimage) 方面)。然而, 针对碰撞与原像估计的 256 位安全级别足以与 224 位级别的椭圆曲线配对。