3.4 Verify (検証)

公開鍵 ENC(A) の下でメッセージ M 上の PureEdDSA 署名 ENC(R) || ENC(S) を検証するには, 次のように進めます。入力を解析して, A と R が E の要素であり, S が集合 {0, 1, ..., L-1} のメンバーであるようにします。h = H(ENC(R) || ENC(A) || M) を計算し, E において群方程式 [2^c * S] B = 2^c * R + [2^c * h] A が成立することを確認します。解析が失敗した場合 (S が範囲外である場合を含む) または群方程式が成立しない場合, 署名は拒否されます。

メッセージ M の EdDSA 検証は, PH(M) の PureEdDSA 検証として定義されます。