5.2 Ed448ph and Ed448 (Ed448ph と Ed448)
5.2 Ed448ph and Ed448 (Ed448ph と Ed448)
Ed448 は, 次のパラメータで EdDSA (Edwards-curve Digital Signature Algorithm, EdDSA) をインスタンス化したものです.
表 2: Ed448 のパラメータ
| Parameter (パラメータ) | Value (値) |
|---|---|
| p | [RFC7748] の edwards448 における p (すなわち 2^448 - 2^224 - 1) |
| b | 456 |
| encoding of GF(p) (GF(p) の符号化) | {0, 1, ..., p-1} の 455 ビットリトルエンディアン符号化 |
| H(x) | SHAKE256(dom4(phflag,context)||x, 114) |
| phflag | 0 |
| c | [RFC7748] の edwards448 の余因子 (cofactor) の底 2 の対数 (すなわち 2) |
| n | 447 |
| d | [RFC7748] の edwards448 の d (すなわち -39081) |
| a | 1 |
| B | [RFC7748] の edwards448 における (X(P),Y(P)) (すなわち (2245800402959243001876043340998960362467896416325641342461254616869504154674060329090291928679537953282578032075146446173674602635247710, 298819210078481492676017930443930673437544040154080242095928241372331506189876003536878655418784733982303233503462500531545062832660)) |
| L | [RFC7748] の edwards448 の位数 (すなわち 2^446 - 138180668098951153520073867485154268803366924748821789894547503885) |
| PH(x) | x (すなわち恒等関数 (identity function)) |
Ed448ph は同様だが, PH が SHAKE256(x, 64) であり phflag が 1 である点が異なる. すなわち, 変更されたハッシュ定数を用いた Ed448 による署名の前に入力をハッシュする.
context (コンテキスト) の値は署名者と検証者が設定する (最大 255 オクテット, 既定は空文字列であり), 検証が成功するにはオクテット単位で一致しなければならない.
当該曲線は基点 (basepoint) の変更の下で Ed448-Goldilocks と同値であり, 離散対数 (discrete logarithm) の困難さは保たれる.