5.2.7 Verify (Verifizieren)

Um eine Signatur über eine Nachricht M mit Kontext C und öffentlichem Schlüssel A zu verifizieren, wobei F für Ed448 0 und für Ed448ph 1 ist, zuerst die Signatur in zwei 57-Oktett-Hälften teilen. Die erste Hälfte als Punkt R dekodieren, die zweite als Ganzzahl S im Bereich 0 <= S < L. Den öffentlichen Schlüssel A als Punkt A' dekodieren. Schlägt eine der Dekodierungen fehl (einschließlich S außerhalb des Bereichs), ist die Signatur ungültig.
SHAKE256(dom4(F, C) || R || A || PH(M), 114) berechnen und den 114-Oktett-Digest als Little-Endian-Ganzzahl k interpretieren.
Die Gruppengleichung [4][S]B = [4]R + [4][k]A' prüfen. Stattdessen [S]B = R + [k]A' zu prüfen ist ausreichend, aber nicht erforderlich.

5.2.7 Verify (Verifizieren)​