HashML-DSA被认为是有害的 (keymaterial.net)

本文讨论了数字签名方案中的预哈希范式及其问题。作者认为，将协议问题推到基元层导致了HashML-DSA和HashSLH-DSA等不必要的变体，这些变体增加了复杂性且并未带来实际收益。作者提出了更好的替代方案，包括利用公钥依赖的message identifier以及在协议层定义数据哈希方式。对于ML-DSA，可以使用SHAKE256(SHAKE256(pk, 64) || 0x00 || 0x00 || m)进行预哈希。对于SLH-DSA等多通道签名方案，则需要更高级的协议设计。作者强调，应在协议层而非基元层处理预哈希问题，并建议在标准化过程中预先明确API和属性。