<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Mar 28, 2017 at 5:25 PM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">So maybe the question is how much you care about spending a little<br>
extra effort in key derivation to make the keys a little safer with<br>
existing DH software?  I.e., do you multiply by the scalar as part of<br>
derivation, or leave that for a future DH operation?</blockquote></div><div><br></div><div>This is what has always confused me: the clamping procedure used by Ed25519 seems "inherited" from X25519[1], ostensibly for some case where you may want to take an Ed25519 key, convert it to an X25519 key, and use it for D-H. Aside from libsodium providing an API for doing so, I haven't actually seen anyone do this.</div><div><br></div><div>It seems like if you want to support a scheme which works for both signatures and D-H, maybe it would be better to define the scheme in terms of Montgomery, so it can be used directly with X25519, and then use XEd25519 for signatures.</div><div><br></div><div>I think most people interested in an "Ed25519-BIP32"-style construction are interested exclusively in signatures.</div><div><br></div><div>[1] See ("Computing secret keys") <a href="https://cr.yp.to/ecdh.html">https://cr.yp.to/ecdh.html</a></div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>