<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Nov 2, 2016 at 4:53 PM, Brian Smith <<a href="mailto:brian@briansmith.org">brian@briansmith.org</a>> wrote:<br></span><span class="">> Assuming I didn't make a huge mistake, here's another factoring of the logic<br>
> that shows that XEd22519 signing can be used with either XEd25519 keys or<br>
> Ed25519 keys. In particular, the randomization of the nonce and the<br>
> derivation of an Ed25519 key from an X25519 key are orthogonal<br>
<br>
</span>Sure, agreed that handling of nonce, and public key, are orthogonal.<br></blockquote><div><br></div><div>Just to be clear: hash_1(x) is used whenever randomized nonces are use, regardless of whether compute_key_pair is used to derive an EdDSA key from an X25519/X448 key, right? And conversely, if one derives an EdDSA keypair from an X25519 keypair, but doesn't use a randomized nonce, then just regular EdDSA should be used, instead of XEdDSA?</div><div><br></div><div>Cheers,</div><div>Brian</div></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><a href="https://briansmith.org/" target="_blank">https://briansmith.org/</a></div><div><br></div></div></div></div></div></div></div>
</div></div>