3.4 Verify (验证)

要在公钥 ENC(A) 下验证消息 M 上的 PureEdDSA 签名 ENC(R) || ENC(S), 按如下步骤进行。解析输入, 使得 A 和 R 是 E 的元素, S 是集合 {0, 1, ..., L-1} 的成员。计算 h = H(ENC(R) || ENC(A) || M), 并检查群方程 [2^c * S] B = 2^c * R + [2^c * h] A 在 E 中成立。如果解析失败 (包括 S 超出范围) 或群方程不成立, 则拒绝签名。

消息 M 的 EdDSA 验证被定义为 PH(M) 的 PureEdDSA 验证。