5.2 Ed448ph and Ed448 (Ed448ph ed Ed448)
5.2 Ed448ph and Ed448 (Ed448ph ed Ed448)
Ed448 è EdDSA (Edwards-curve Digital Signature Algorithm) istanziato con:
Tabella 2: Parametri di Ed448
| Parameter (parametro) | Value (valore) |
|---|---|
| p | p di edwards448 in [RFC7748] (cioè 2^448 - 2^224 - 1) |
| b | 456 |
| encoding of GF(p) (codifica di GF(p)) | Codifica little-endian a 455 bit di {0, 1, ..., p-1} |
| H(x) | SHAKE256(dom4(phflag,context)||x, 114) |
| phflag | 0 |
| c | Logaritmo in base 2 del cofattore di edwards448 in [RFC7748] (cioè 2) |
| n | 447 |
| d | d di edwards448 in [RFC7748] (cioè -39081) |
| a | 1 |
| B | (X(P),Y(P)) di edwards448 in [RFC7748] (cioè (2245800402959243001876043340998960362467896416325641342461254616869504154674060329090291928679537953282578032075146446173674602635247710, 298819210078481492676017930443930673437544040154080242095928241372331506189876003536878655418784733982303233503462500531545062832660)) |
| L | Ordine di edwards448 in [RFC7748] (cioè 2^446 - 138180668098951153520073867485154268803366924748821789894547503885) |
| PH(x) | x (cioè la funzione identità) |
Ed448ph è lo stesso schema ma con PH uguale a SHAKE256(x, 64) e phflag uguale a 1, cioè l'input viene sottoposto a hash prima della firma con Ed448 con una costante di hash modificata.
Il valore di context è impostato da firmatario e verificatore (al massimo 255 ottetti; il default è la stringa vuota) e deve coincidere ottetto per ottetto affinché la verifica abbia successo.
La curva è equivalente a Ed448-Goldilocks sotto cambio del punto base, il che preserva la difficoltà del logaritmo discreto.