3.3 Sign (签名)

私钥 k 下消息 M 的 EdDSA 签名被定义为 PH(M) 的 PureEdDSA 签名。换句话说, EdDSA 简单地使用 PureEdDSA 来签名 PH(M)。

私钥 k 下消息 M 的 PureEdDSA 签名是 2b 位字符串 ENC(R) || ENC(S)。R 和 S 派生如下。首先定义 r = H(h_b || ... || h_(2b-1) || M), 将 2b 位字符串以小端形式解释为 {0, 1, ..., 2^(2*b) - 1} 中的整数。设 R = [r]B 和 S = (r + H(ENC(R) || ENC(A) || PH(M)) * s) mod L。这里使用的 s 来自上一节。