Ed25519 - 是否有理由不信任簽名者 - 即是否存在不誠實的簽名者？

Ed25519 使用複合階橢圓曲線，但在主組的素階子組中工作。簽名操作應使用主要訂單子組中的生成器/基點。

該部落格似乎在說以下內容-誠實的 Ed25519 簽名者僅在素數子組中工作（即，他們從素數子組中選擇了生成器/基點）。但是沒有什麼能阻止簽名者偏離協議，並生成具有非零扭轉分量的驗證密鑰（通過使用來自輔因子子組的輸入）。在這種情況下，批量驗證會成功，但非批量驗證可能會失敗。

我無法理解為什麼需要防止不誠實的簽名者？整個簽名和驗證過程不是在信任簽名者的基礎上進行的嗎？

此外，不誠實的簽名者會通過上述不誠實行為獲得什麼？

考慮一個區塊鏈，網路上的節點驗證每個宣布的新塊。

節點可能正在執行試圖遵守相同共識協議的不同軟體實現。

一些節點可能被設計為單獨驗證接收到的每個塊中的每個事務。其他節點只能同時對區塊中的所有交易進行批量驗證。

如果您宣布一個包含批量驗證但不單獨驗證的交易的塊，您現在將在區塊鏈中創建一個分叉。

這將使在網路上發起 51% 攻擊變得更加容易。一些礦工將嘗試根據之前的區塊宣布新開采的區塊，而網路中的大部分其他人將認為該區塊無效。

更一般地說，有時不受信任的各方可以訪問簽名預言機。例如，在盲簽名中，檢查點是否屬於正確的子組非常重要。否則，超時，密鑰可能被恢復。

引用自：https://crypto.stackexchange.com/questions/101871