5.2 Ed448ph and Ed448 (Ed448ph und Ed448)
5.2 Ed448ph and Ed448 (Ed448ph und Ed448)
Ed448 ist EdDSA (Edwards-curve Digital Signature Algorithm), instanziiert mit:
Tabelle 2: Parameter von Ed448
| Parameter | Wert |
|---|---|
| p | p von edwards448 in [RFC7748] (d. h. 2^448 - 2^224 - 1) |
| b | 456 |
| Kodierung von GF(p) | 455-Bit-Little-Endian-Kodierung von {0, 1, ..., p-1} |
| H(x) | SHAKE256(dom4(phflag,context)||x, 114) |
| phflag | 0 |
| c | Logarithmus zur Basis 2 des Kofaktors von edwards448 in [RFC7748] (d. h. 2) |
| n | 447 |
| d | d von edwards448 in [RFC7748] (d. h. -39081) |
| a | 1 |
| B | (X(P),Y(P)) von edwards448 in [RFC7748] (d. h. (2245800402959243001876043340998960362467896416325641342461254616869504154674060329090291928679537953282578032075146446173674602635247710, 298819210078481492676017930443930673437544040154080242095928241372331506189876003536878655418784733982303233503462500531545062832660)) |
| L | Ordnung von edwards448 in [RFC7748] (d. h. 2^446 - 138180668098951153520073867485154268803366924748821789894547503885) |
| PH(x) | x (d. h. die Identitätsfunktion) |
Ed448ph ist dasselbe, jedoch mit PH = SHAKE256(x, 64) und phflag = 1, d. h. die Eingabe wird vor der Signatur mit Ed448 unter geändertem Hash-Konstanten-Parameter gehasht.
Der Wert von context wird von Signierendem und Verifizierendem festgelegt (höchstens 255 Oktette; Standard ist die leere Zeichenkette) und muss oktettweise übereinstimmen, damit die Verifikation erfolgreich ist.
Die Kurve ist unter Basispunktwechsel zu Ed448-Goldilocks äquivalent, wodurch die Schwierigkeit des diskreten Logarithmus erhalten bleibt.