Hash(m1)があるときに、 Hash(m1||m2) が計算できる。これにより、m1がm1であることを確かめるような署名のHash(m1)をすり抜けることができる。
原理
https://ptr-yudai.hatenablog.com/entry/2018/08/28/205129に詳しい。とりあえず図をコピーしてくる
このようにハッシュ関数ではIVと平文を入力してハッシュ値を計算するんだけど、前回のハッシュ関数の出力をIVとすることで、まるで平分が続いているかのように計算ができる。