5.1 Ed25519ph, Ed25519ctx, and Ed25519
5.1 Ed25519ph, Ed25519ctx, and Ed25519
Ed25519 est une instanciation d'EdDSA avec :
| Paramètre | Valeur |
|---|---|
| p | p d'edwards25519 dans [RFC7748] (c.-à-d. 2^255 - 19) |
| b | 256 |
| encodage de GF(p) | encodage little-endian sur 255 bits de {0, 1, ..., p-1} |
| H(x) | `SHA-512(dom2(phflag,context) |
| c | logarithme en base 2 du cofacteur d'edwards25519 dans [RFC7748] (c.-à-d. 3) |
| n | 254 |
| d | d d'edwards25519 dans [RFC7748] (c.-à-d. -121665/121666 = 37095705934669439343138083508754565189542113879843219016388785533085940283555) |
| a | -1 |
| B | (X(P),Y(P)) d'edwards25519 dans [RFC7748] (c.-à-d. (151122213495354007725011514095885315114540126930418572046113283949847762202, 4631683569492647816942839400347516314130799386625621565783033603165251855960)) |
| L | ordre d'edwards25519 dans [RFC7748] (c.-à-d. 2^252+27742317777372353535851937790883648493). |
| PH(x) | x (c.-à-d. la fonction identité) |
Tableau 1 : Paramètres d'Ed25519
Pour Ed25519, dom2(f,c) est la chaîne vide. La valeur de phflag est sans importance. Le contexte (s'il est présent) DOIT être vide. Ainsi le schéma est identique au schéma Ed25519 publié antérieurement.
Pour Ed25519ctx, phflag=0. L'entrée de contexte NE DEVRAIT PAS être vide.
Pour Ed25519ph, phflag=1 et PH est SHA512 à la place. C'est-à-dire que l'entrée est hachée avec SHA-512 avant signature avec Ed25519.
La valeur du contexte est fixée par le signataire et le vérificateur (255 octets au maximum ; la valeur par défaut est la chaîne vide, sauf pour Ed25519 qui ne peut pas avoir de contexte) et doit coïncider octet par octet pour que la vérification réussisse.
La courbe utilisée est équivalente à Curve25519 [CURVE25519] par changement de coordonnées, ce qui signifie que la difficulté du problème du logarithme discret (discrete logarithm problem) est la même que pour Curve25519.