5.2.7 Verify (Vérification)

Pour vérifier une signature sur un message M en utilisant le contexte C et la clé publique A, avec F valant 0 pour Ed448 et 1 pour Ed448ph, d'abord diviser la signature en deux moitiés de 57 octets. Décoder la première moitié comme un point R, et la seconde comme un entier S dans l'intervalle 0 <= S < L. Décoder la clé publique A comme le point A'. Si l'un des décodages échoue (y compris S hors plage), la signature est invalide.
Calculer SHAKE256(dom4(F, C) || R || A || PH(M), 114), et interpréter le digest de 114 octets comme un entier little-endian k.
Vérifier l'équation de groupe [4][S]B = [4]R + [4][k]A'. Il suffit, mais ce n'est pas obligatoire, de vérifier à la place [S]B = R + [k]A'.

5.2.7 Verify (Vérification)​