<!DOCTYPE html>
<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-cite-prefix">On 12/5/24 11:13, Rainer Perske wrote:<span
      style="white-space: pre-wrap">
</span></div>
    <blockquote type="cite"
cite="mid:permail-20241205171344103ecc050007da30-perske@message-id.uni-muenster.de">
      <pre class="moz-quote-pre" wrap="">Bruce Walzer schrieb am 2024-12-05:
</pre>
      <blockquote type="cite">
        <pre class="moz-quote-pre" wrap="">What is the actual issue here?
</pre>
      </blockquote>
      <pre class="moz-quote-pre" wrap="">
Extremely simplified:

Attacker makes many good documents and many bad documents until he finds a collision.
See <a class="moz-txt-link-freetext" href="https://shattered.io">https://shattered.io</a>
Attacker takes the good document and the bad document with the same hash.
Attacker asks victim to sign the good document.
Victim does so.
Attacker combines the signature with the bad document.
So the attacker can "prove" that the victim has signed the bad document.</pre>
    </blockquote>
    <p>Better solution:  never sign a document exactly as presented to
      you; always make a small change first.  This could be as simple as
      including a nonce in the signature.  This is from Schneier's
      /Applied Cryptography/ from many years ago:  this problem (and its
      solution) is old.</p>
    <p><br>
    </p>
    <p>-- Jacob<br>
    </p>
  </body>
</html>