<p dir="ltr"></p>
<p dir="ltr">On Wed, Jun 25, 2014 at 4:37 PM, Trevor Perrin <<a href="mailto:trevp@trevp.net">trevp@trevp.net</a>> wrote:<br>
> So Ed25519 and Goldilocks are similar in generating the private scalar<br>
> and signing nonce from a "master key":<br>
><br>
> Ed25519<br>
> --------<br>
> private_scalar[32], nonce_key[32] = SHA512(master_key[32])<br>
> sig_nonce[32] = SHA512(nonce_key[32] || message) % q<br>
><br>
> Goldilocks<br>
> --------<br>
> private_scalar[56] = SHA512("derivepk" || masterkey[32])<br>
> sig_nonce[56] = SHA512("signonce" || masterkey[32] || message ||<br>
> masterkey[32]) % q<br>
><br>
><br>
> Qs<br>
> * Is it weird that the range for Goldilocks private scalar and nonce<br>
> is size 2^256, rather than the size of the main subgroup (~2^446)?</p>
<p dir="ltr">I can't think of a way to break it. Bernstein mentions something similar for curve25519,  with s, md5 (s) as the secret key.<br></p>
<p dir="ltr">Sincerely,<br>
Watson Ladd</p>
<p dir="ltr">><br>
> Trevor<br>
> _______________________________________________<br>
> Curves mailing list<br>
> <a href="mailto:Curves@moderncrypto.org">Curves@moderncrypto.org</a><br>
> <a href="https://moderncrypto.org/mailman/listinfo/curves">https://moderncrypto.org/mailman/listinfo/curves</a><br><br></p>
<p dir="ltr">-- <br>
"Those who would give up Essential Liberty to purchase a little Temporary Safety deserve neither Liberty nor Safety."<br>
-- Benjamin Franklin</p>