<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Oct 26, 2016 at 6:50 AM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">Also, XEdDSA is defined for 512-bit hash functions, so<br>
we'd have to decide if/how it works if someone chooses a Noise 256-bit<br>
hash.<br></blockquote><div><br></div><div>I see the 512-bit hash that is used in XEdDSA as an internal implementation detail of the signature algorithm.  It is used to hash the message (the short "h" in our case) and to safely generate the random nonce r used during signing.  It doesn't need to be the same hash as the one used to generate the message "h".  IMHO.</div><div><br></div><div>It isn't clear to me on a casual read of the linked specification as to why plain Ed25519 isn't suitable.  Problems with sharing static keys with Diffie-Hellman?  Deterministic signatures?</div><div><br></div><div>Cheers,</div><div><br></div><div>Rhys.</div><div><br></div></div></div></div>