8.2. Randomness Considerations (随机性考量)

EdDSA 签名是确定性的 (deterministic)。这可以防护因使用不良随机数签名而产生的攻击; 根据具体算法, 其后果可能一直到完全私钥泄露。要确保高质量的随机数可能出人意料地困难, 并且已有多起与此相关的安全故障。

显然, 私钥生成需要随机性, 但由于私钥在使用前会经过哈希, 少量缺失的熵 (entropy) 比特并不构成灾难。

基本签名验证也是确定性的。但是, 通过一次验证多个签名来实现的部分加速确实需要随机数。