5.2 Ed448ph and Ed448
5.2 Ed448ph and Ed448
Ed448 est EdDSA (Edwards-curve Digital Signature Algorithm) instancié avec :
Tableau 2 : Paramètres d'Ed448
| Parameter | Value |
|---|---|
| p | p d'edwards448 dans [RFC7748] (c.-à-d. 2^448 - 2^224 - 1) |
| b | 456 |
| encoding of GF(p) | Encodage little-endian sur 455 bits de {0, 1, ..., p-1} |
| H(x) | SHAKE256(dom4(phflag,context)||x, 114) |
| phflag | 0 |
| c | Logarithme en base 2 du cofacteur d'edwards448 dans [RFC7748] (c.-à-d. 2) |
| n | 447 |
| d | d d'edwards448 dans [RFC7748] (c.-à-d. -39081) |
| a | 1 |
| B | (X(P),Y(P)) d'edwards448 dans [RFC7748] (c.-à-d. (2245800402959243001876043340998960362467896416325641342461254616869504154674060329090291928679537953282578032075146446173674602635247710, 298819210078481492676017930443930673437544040154080242095928241372331506189876003536878655418784733982303233503462500531545062832660)) |
| L | Ordre d'edwards448 dans [RFC7748] (c.-à-d. 2^446 - 138180668098951153520073867485154268803366924748821789894547503885) |
| PH(x) | x (c.-à-d. la fonction identité) |
Ed448ph est identique sauf que PH est SHAKE256(x, 64) et phflag vaut 1, c.-à-d. l'entrée est hachée avant signature avec Ed448 avec une constante de hachage modifiée.
La valeur de context est fixée par le signataire et le vérificateur (255 octets au maximum ; la valeur par défaut est la chaîne vide) et doit correspondre octet par octet pour que la vérification réussisse.
La courbe est équivalente à Ed448-Goldilocks sous changement du point de base, ce qui préserve la difficulté du logarithme discret.