5.2 Ed448ph and Ed448 (Ed448ph 与 Ed448)

5.2 Ed448ph and Ed448 (Ed448ph 与 Ed448)

Ed448 是将 EdDSA (Edwards 曲线数字签名算法, EdDSA) 按下述参数实例化的结果:

表 2: Ed448 的参数

Parameter (参数)	Value (取值)
p	[RFC7748] 中 edwards448 的 p (即 2^448 - 2^224 - 1)
b	456
encoding of GF(p) (GF(p) 的编码)	{0, 1, ..., p-1} 的 455 位小端 (little-endian) 编码
H(x)	SHAKE256(dom4(phflag,context)||x, 114)
phflag	0
c	[RFC7748] 中 edwards448 余因子 (cofactor) 的以 2 为底的对数 (即 2)
n	447
d	[RFC7748] 中 edwards448 的 d (即 -39081)
a	1
B	[RFC7748] 中 edwards448 的 (X(P),Y(P)) (即 (2245800402959243001876043340998960362467896416325641342461254616869504154674060329090291928679537953282578032075146446173674602635247710, 298819210078481492676017930443930673437544040154080242095928241372331506189876003536878655418784733982303233503462500531545062832660))
L	[RFC7748] 中 edwards448 的阶 (即 2^446 - 138180668098951153520073867485154268803366924748821789894547503885)
PH(x)	x (即恒等函数 (identity function))

Ed448ph 与其相同, 但 PH 为 SHAKE256(x, 64) 且 phflag 为 1, 即在采用修改后的哈希常数用 Ed448 签名之前先对输入做哈希。

context (上下文) 的值由签名方与验证方设定 (最多 255 个八位组 (octet); 默认为空字符串), 且必须逐八位组完全一致, 验证才能成功。

该曲线在更换基点 (basepoint) 下与 Ed448-Goldilocks 等价, 从而保持离散对数 (discrete logarithm) 问题的困难性不变。

Contents

• 5.2.1 Modular Arithmetic (模运算)
• 5.2.2 Encoding (编码)
• 5.2.3 Decoding (解码)
• 5.2.4 Point Addition (点加)
• 5.2.5 Key Generation (密钥生成)
• 5.2.6 Sign (签名)
• 5.2.7 Verify (验证)