5.2.7 Verify (検証)

コンテキスト C と公開鍵 A を用いてメッセージ M の署名を検証する場合, F は Ed448 では 0, Ed448ph では 1 とし, まず署名を 2 つの 57 オクテット半分に分割する. 前半を点 R として, 後半を範囲 0 <= S < L の整数 S として復号する. 公開鍵 A を点 A' として復号する. いずれかの復号が失敗した場合 (S が範囲外を含む), 署名は無効である.
SHAKE256(dom4(F, C) || R || A || PH(M), 114) を計算し, 114 オクテットのダイジェストをリトルエンディアン整数 k として解釈する.
群の等式 [4][S]B = [4]R + [4][k]A' を検査する. 代わりに [S]B = R + [k]A' を検査することでも足りるが, 必須ではない.

5.2.7 Verify (検証)​