5.1 Ed25519ph, Ed25519ctx, and Ed25519 (Ed25519ph, Ed25519ctx, Ed25519)
5.1 Ed25519ph, Ed25519ctx, and Ed25519 (Ed25519ph, Ed25519ctx, Ed25519)
Ed25519 は, 次のようにインスタンス化 (instantiated) された EdDSA である.
| Parameter (パラメータ) | Value (値) |
|---|---|
| p | [RFC7748] における edwards25519 の p (すなわち 2^255 - 19) |
| b | 256 |
| GF(p) の encoding (符号化) | {0, 1, ..., p-1} の 255 ビット little-endian (リトルエンディアン) 符号化 |
| H(x) | `SHA-512(dom2(phflag,context) |
| c | [RFC7748] における edwards25519 の cofactor (余因子) の底 2 の対数 (すなわち 3) |
| n | 254 |
| d | [RFC7748] における edwards25519 の d (すなわち -121665/121666 = 37095705934669439343138083508754565189542113879843219016388785533085940283555) |
| a | -1 |
| B | [RFC7748] における edwards25519 の (X(P),Y(P)) (すなわち (151122213495354007725011514095885315114540126930418572046113283949847762202, 4631683569492647816942839400347516314130799386625621565783033603165251855960)) |
| L | [RFC7748] における edwards25519 の order (位数) (すなわち 2^252+27742317777372353535851937790883648493). |
| PH(x) | x (すなわち恒等関数) |
表 1: Ed25519 のパラメータ
Ed25519 では, dom2(f,c) は空文字列である. phflag の値は無関係である. context (存在する場合) は空でなければならない (MUST). これにより本方式は, 以前に公表された Ed25519 方式と同一になる.
Ed25519ctx では, phflag=0 である. context 入力は空であってはならない (SHOULD NOT).
Ed25519ph では, phflag=1 であり, PH は代わりに SHA512 である. すなわち, Ed25519 で署名する前に入力を SHA-512 でハッシュする.
context の値は署名者と検証者が設定する (最大 255 octet (オクテット); 既定は空文字列だが, Ed25519 では context を持てない), 検証が成功するには octet 単位で一致していなければならない.
用いる曲線は座標変換の下で Curve25519 [CURVE25519] と等価であり, 離散対数問題 (discrete logarithm problem) の困難さは Curve25519 と同じである.