8.2. Randomness Considerations (乱数に関する考察)

EdDSA の署名は決定的 (deterministic) である。これにより, 悪い乱数で署名することに起因する攻撃から保護される。アルゴリズムによってはその影響は秘密鍵の完全な侵害にまで及ぶ。高品質の乱数を確保することは思いのほか難しく, これに関連するセキュリティ上の失敗は多数ある。

もちろん秘密鍵の生成には乱数が必要だが, 秘密鍵は使用前にハッシュされるため, エントロピー (entropy) のビットが多少欠けていても致命的ではない。

基本的な署名検証も決定的である。ただし, 複数の署名を一度に検証する高速化の一部には乱数が必要になる。