5.2.7 Verify (Verifica)
5.2.7 Verify (Verifica)
-
Per verificare una firma su un messaggio M usando il contesto C e la chiave pubblica A, con F uguale a 0 per Ed448 e 1 per Ed448ph, prima dividere la firma in due metà di 57 ottetti. Decodificare la prima metà come punto R e la seconda come intero S nell'intervallo 0 <= S < L. Decodificare la chiave pubblica A come punto A'. Se una qualsiasi decodifica fallisce (incluso S fuori intervallo), la firma non è valida.
-
Calcolare SHAKE256(dom4(F, C) || R || A || PH(M), 114) e interpretare il digest di 114 ottetti come intero little-endian k.
-
Controllare l'equazione di gruppo [4][S]B = [4]R + [4][k]A'. È sufficiente, ma non obbligatorio, controllare invece [S]B = R + [k]A'.