5.2.7 Verify (验证)

5.2.7 Verify (验证)

1. 要在上下文 C 与公钥 A 下验证消息 M 的签名, F 对 Ed448 为 0, 对 Ed448ph 为 1, 先将签名分成两个各 57 八位组的半段。将前半解码为点 R, 后半解码为整数 S, 范围 0 <= S < L。将公钥 A 解码为点 A'。若任一步解码失败 (包括 S 越界), 则签名无效。

2. 计算 SHAKE256(dom4(F, C) || R || A || PH(M), 114), 并将 114 个八位组的摘要解释为小端整数 k。

3. 检验群方程 [4][S]B = [4]R + [4][k]A'。改为检验 [S]B = R + [k]A' 亦充分, 但非必须。