HashML-DSA被认为是有害的
2024-11-10
本文讨论了数字签名方案中的预哈希范式及其问题。作者认为,将协议问题推到基元层导致了HashML-DSA和HashSLH-DSA等不必要的变体,这些变体增加了复杂性且并未带来实际收益。作者提出了更好的替代方案,包括利用公钥依赖的message identifier以及在协议层定义数据哈希方式。对于ML-DSA,可以使用SHAKE256(SHAKE256(pk, 64) || 0x00 || 0x00 || m)进行预哈希。对于SLH-DSA等多通道签名方案,则需要更高级的协议设计。作者强调,应在协议层而非基元层处理预哈希问题,并建议在标准化过程中预先明确API和属性。
12
未分类
预哈希