net2o: Hex Artifact Content

Artifact 21f96c8e95c938596339dd330b9ba0ec8d080c63:

File ed25519-donna.fs — part of check-in [92cd8b5e93] at 2019-05-27 16:58:07 on branch trunk — Don't recheck key signatures every time you open your secret keys (user: bernd size: 6538)
0000: 5c 20 49 6e 74 65 72 66 61 63 65 20 74 6f 20 74  \ Interface to t
0010: 68 65 20 65 64 32 35 35 31 39 20 70 72 69 6d 69  he ed25519 primi
0020: 74 69 76 65 73 20 66 72 6f 6d 20 64 6f 6e 6e 61  tives from donna
0030: 20 20 20 20 20 32 33 6f 63 74 32 30 31 33 70 79       23oct2013py
0040: 0a 0a 5c 20 43 6f 70 79 72 69 67 68 74 20 28 43  ..\ Copyright (C
0050: 29 20 32 30 31 33 2d 32 30 31 35 20 20 20 42 65  ) 2013-2015   Be
0060: 72 6e 64 20 50 61 79 73 61 6e 0a 0a 5c 20 54 68  rnd Paysan..\ Th
0070: 69 73 20 70 72 6f 67 72 61 6d 20 69 73 20 66 72  is program is fr
0080: 65 65 20 73 6f 66 74 77 61 72 65 3a 20 79 6f 75  ee software: you
0090: 20 63 61 6e 20 72 65 64 69 73 74 72 69 62 75 74   can redistribut
00a0: 65 20 69 74 20 61 6e 64 2f 6f 72 20 6d 6f 64 69  e it and/or modi
00b0: 66 79 0a 5c 20 69 74 20 75 6e 64 65 72 20 74 68  fy.\ it under th
00c0: 65 20 74 65 72 6d 73 20 6f 66 20 74 68 65 20 47  e terms of the G
00d0: 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65 72 61  NU Affero Genera
00e0: 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e 73 65  l Public License
00f0: 20 61 73 20 70 75 62 6c 69 73 68 65 64 20 62 79   as published by
0100: 0a 5c 20 74 68 65 20 46 72 65 65 20 53 6f 66 74  .\ the Free Soft
0110: 77 61 72 65 20 46 6f 75 6e 64 61 74 69 6f 6e 2c  ware Foundation,
0120: 20 65 69 74 68 65 72 20 76 65 72 73 69 6f 6e 20   either version 
0130: 33 20 6f 66 20 74 68 65 20 4c 69 63 65 6e 73 65  3 of the License
0140: 2c 20 6f 72 0a 5c 20 28 61 74 20 79 6f 75 72 20  , or.\ (at your 
0150: 6f 70 74 69 6f 6e 29 20 61 6e 79 20 6c 61 74 65  option) any late
0160: 72 20 76 65 72 73 69 6f 6e 2e 0a 0a 5c 20 54 68  r version...\ Th
0170: 69 73 20 70 72 6f 67 72 61 6d 20 69 73 20 64 69  is program is di
0180: 73 74 72 69 62 75 74 65 64 20 69 6e 20 74 68 65  stributed in the
0190: 20 68 6f 70 65 20 74 68 61 74 20 69 74 20 77 69   hope that it wi
01a0: 6c 6c 20 62 65 20 75 73 65 66 75 6c 2c 0a 5c 20  ll be useful,.\ 
01b0: 62 75 74 20 57 49 54 48 4f 55 54 20 41 4e 59 20  but WITHOUT ANY 
01c0: 57 41 52 52 41 4e 54 59 3b 20 77 69 74 68 6f 75  WARRANTY; withou
01d0: 74 20 65 76 65 6e 20 74 68 65 20 69 6d 70 6c 69  t even the impli
01e0: 65 64 20 77 61 72 72 61 6e 74 79 20 6f 66 0a 5c  ed warranty of.\
01f0: 20 4d 45 52 43 48 41 4e 54 41 42 49 4c 49 54 59   MERCHANTABILITY
0200: 20 6f 72 20 46 49 54 4e 45 53 53 20 46 4f 52 20   or FITNESS FOR 
0210: 41 20 50 41 52 54 49 43 55 4c 41 52 20 50 55 52  A PARTICULAR PUR
0220: 50 4f 53 45 2e 20 20 53 65 65 20 74 68 65 0a 5c  POSE.  See the.\
0230: 20 47 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65   GNU Affero Gene
0240: 72 61 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e  ral Public Licen
0250: 73 65 20 66 6f 72 20 6d 6f 72 65 20 64 65 74 61  se for more deta
0260: 69 6c 73 2e 0a 0a 5c 20 59 6f 75 20 73 68 6f 75  ils...\ You shou
0270: 6c 64 20 68 61 76 65 20 72 65 63 65 69 76 65 64  ld have received
0280: 20 61 20 63 6f 70 79 20 6f 66 20 74 68 65 20 47   a copy of the G
0290: 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65 72 61  NU Affero Genera
02a0: 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e 73 65  l Public License
02b0: 0a 5c 20 61 6c 6f 6e 67 20 77 69 74 68 20 74 68  .\ along with th
02c0: 69 73 20 70 72 6f 67 72 61 6d 2e 20 20 49 66 20  is program.  If 
02d0: 6e 6f 74 2c 20 73 65 65 20 3c 68 74 74 70 3a 2f  not, see <http:/
02e0: 2f 77 77 77 2e 67 6e 75 2e 6f 72 67 2f 6c 69 63  /www.gnu.org/lic
02f0: 65 6e 73 65 73 2f 3e 2e 0a 0a 5c 20 54 68 65 20  enses/>...\ The 
0300: 68 69 67 68 20 6c 65 76 65 6c 20 73 74 75 66 66  high level stuff
0310: 20 69 73 20 61 6c 6c 20 69 6e 20 46 6f 72 74 68   is all in Forth
0320: 0a 0a 5c 20 64 75 6d 6d 79 20 6c 6f 61 64 20 66  ..\ dummy load f
0330: 6f 72 20 41 6e 64 72 6f 69 64 0a 0a 72 65 71 75  or Android..requ
0340: 69 72 65 20 72 65 63 2d 73 63 6f 70 65 2e 66 73  ire rec-scope.fs
0350: 0a 72 65 71 75 69 72 65 20 75 6e 69 78 2f 63 70  .require unix/cp
0360: 75 2e 66 73 0a 0a 66 61 73 74 2d 6c 69 62 20 5b  u.fs..fast-lib [
0370: 49 46 5d 0a 20 20 20 20 72 65 71 75 69 72 65 20  IF].    require 
0380: 65 64 32 35 35 31 39 2d 64 6f 6e 6e 61 66 61 73  ed25519-donnafas
0390: 74 2e 66 73 0a 5b 45 4c 53 45 5d 0a 20 20 20 20  t.fs.[ELSE].    
03a0: 5b 49 46 44 45 46 5d 20 61 6e 64 72 6f 69 64 0a  [IFDEF] android.
03b0: 09 73 22 20 6c 69 62 65 64 32 35 35 31 39 70 72  .s" libed25519pr
03c0: 69 6d 73 2e 73 6f 22 20 63 2d 6c 69 62 3a 6f 70  ims.so" c-lib:op
03d0: 65 6e 2d 70 61 74 68 2d 6c 69 62 20 64 72 6f 70  en-path-lib drop
03e0: 0a 20 20 20 20 5b 54 48 45 4e 5d 0a 20 20 20 20  .    [THEN].    
03f0: 63 2d 6c 69 62 72 61 72 79 20 65 64 32 35 35 31  c-library ed2551
0400: 39 5f 64 6f 6e 6e 61 0a 09 22 65 64 32 35 35 31  9_donna.."ed2551
0410: 39 70 72 69 6d 73 22 20 61 64 64 2d 6c 69 62 0a  9prims" add-lib.
0420: 09 69 6e 63 6c 75 64 65 20 65 64 32 35 35 31 39  .include ed25519
0430: 2d 64 6f 6e 6e 61 6c 69 62 2e 66 73 0a 20 20 20  -donnalib.fs.   
0440: 20 65 6e 64 2d 63 2d 6c 69 62 72 61 72 79 0a 5b   end-c-library.[
0450: 54 48 45 4e 5d 0a 0a 5b 49 46 55 4e 44 45 46 5d  THEN]..[IFUNDEF]
0460: 20 63 6c 61 73 73 20 62 79 65 20 5b 54 48 45 4e   class bye [THEN
0470: 5d 20 5c 20 73 74 6f 70 20 68 65 72 65 20 69 66  ] \ stop here if
0480: 20 6c 69 62 63 6f 6d 70 69 6c 65 20 6f 6e 6c 79   libcompile only
0490: 0a 0a 3a 20 33 32 62 3e 73 63 32 35 35 31 39 20  ..: 32b>sc25519 
04a0: 33 32 20 6e 62 3e 73 63 32 35 35 31 39 20 3b 0a  32 nb>sc25519 ;.
04b0: 3a 20 36 34 62 3e 73 63 32 35 35 31 39 20 36 34  : 64b>sc25519 64
04c0: 20 6e 62 3e 73 63 32 35 35 31 39 20 3b 0a 0a 24   nb>sc25519 ;..$
04d0: 32 30 20 43 6f 6e 73 74 61 6e 74 20 4b 45 59 42  20 Constant KEYB
04e0: 59 54 45 53 0a 0a 75 73 65 72 2d 6f 20 65 64 62  YTES..user-o edb
04f0: 75 66 0a 0a 6f 62 6a 65 63 74 20 63 6c 61 73 73  uf..object class
0500: 0a 20 20 20 20 24 36 30 20 75 76 61 72 20 73 69  .    $60 uvar si
0510: 67 62 75 66 0a 20 20 20 20 24 33 30 20 75 76 61  gbuf.    $30 uva
0520: 72 20 73 63 74 30 0a 20 20 20 20 24 33 30 20 75  r sct0.    $30 u
0530: 76 61 72 20 73 63 74 31 0a 20 20 20 20 24 33 30  var sct1.    $30
0540: 20 75 76 61 72 20 73 63 74 32 0a 20 20 20 20 24   uvar sct2.    $
0550: 33 30 20 75 76 61 72 20 73 63 74 33 0a 20 20 20  30 uvar sct3.   
0560: 20 24 43 30 20 75 76 61 72 20 67 65 74 30 0a 20   $C0 uvar get0. 
0570: 20 20 20 24 43 30 20 75 76 61 72 20 67 65 74 31     $C0 uvar get1
0580: 0a 20 20 20 20 24 34 30 20 75 76 61 72 20 68 61  .    $40 uvar ha
0590: 73 68 74 6d 70 0a 20 20 20 20 24 34 30 20 75 76  shtmp.    $40 uv
05a0: 61 72 20 73 69 67 74 6d 70 0a 20 20 20 20 24 32  ar sigtmp.    $2
05b0: 30 20 75 76 61 72 20 70 6b 74 6d 70 0a 20 20 20  0 uvar pktmp.   
05c0: 20 6b 65 63 63 61 6b 23 20 75 76 61 72 20 68 73   keccak# uvar hs
05d0: 74 61 74 65 74 6d 70 0a 20 20 20 20 63 65 6c 6c  tatetmp.    cell
05e0: 20 75 76 61 72 20 74 61 73 6b 2d 69 64 0a 65 6e   uvar task-id.en
05f0: 64 2d 63 6c 61 73 73 20 65 64 62 75 66 2d 63 0a  d-class edbuf-c.
0600: 0a 3a 20 69 6e 69 74 2d 65 64 32 35 35 31 39 0a  .: init-ed25519.
0610: 20 20 20 20 65 64 62 75 66 20 40 20 49 46 20 20      edbuf @ IF  
0620: 74 61 73 6b 2d 69 64 20 40 20 75 70 40 20 3d 20  task-id @ up@ = 
0630: 3f 45 58 49 54 20 20 54 48 45 4e 0a 20 20 20 20  ?EXIT  THEN.    
0640: 5b 3a 20 65 64 62 75 66 2d 63 20 6e 65 77 20 65  [: edbuf-c new e
0650: 64 62 75 66 20 21 20 3b 5d 20 63 72 79 70 74 6f  dbuf ! ;] crypto
0660: 2d 61 20 77 69 74 68 2d 61 6c 6c 6f 63 61 74 65  -a with-allocate
0670: 72 0a 20 20 20 20 75 70 40 20 74 61 73 6b 2d 69  r.    up@ task-i
0680: 64 20 21 20 3b 0a 0a 69 6e 69 74 2d 65 64 32 35  d ! ;..init-ed25
0690: 35 31 39 0a 0a 3a 20 66 72 65 65 2d 65 64 32 35  519..: free-ed25
06a0: 35 31 39 20 28 20 2d 2d 20 29 0a 20 20 20 20 65  519 ( -- ).    e
06b0: 64 62 75 66 20 40 20 3f 64 75 70 2d 49 46 20 20  dbuf @ ?dup-IF  
06c0: 5b 3a 20 2e 64 69 73 70 6f 73 65 20 3b 5d 20 63  [: .dispose ;] c
06d0: 72 79 70 74 6f 2d 61 20 77 69 74 68 2d 61 6c 6c  rypto-a with-all
06e0: 6f 63 61 74 65 72 20 20 54 48 45 4e 0a 20 20 20  ocater  THEN.   
06f0: 20 65 64 62 75 66 20 6f 66 66 20 3b 0a 0a 3a 6e   edbuf off ;..:n
0700: 6f 6e 61 6d 65 20 64 65 66 65 72 73 20 27 69 6d  oname defers 'im
0710: 61 67 65 20 65 64 62 75 66 20 6f 66 66 20 3b 20  age edbuf off ; 
0720: 69 73 20 27 69 6d 61 67 65 0a 0a 3a 20 63 6c 65  is 'image..: cle
0730: 61 6e 2d 65 64 32 35 35 31 39 20 28 20 2d 2d 20  an-ed25519 ( -- 
0740: 29 0a 20 20 20 20 5c 67 20 64 6f 20 74 68 69 73  ).    \g do this
0750: 20 65 76 65 72 79 20 74 69 6d 65 20 79 6f 75 20   every time you 
0760: 63 6f 6d 70 75 74 65 64 20 75 73 69 6e 67 20 73  computed using s
0770: 6f 6d 65 74 68 69 6e 67 20 73 65 63 72 65 74 0a  omething secret.
0780: 20 20 20 20 73 63 74 30 20 74 61 73 6b 2d 69 64      sct0 task-id
0790: 20 6f 76 65 72 20 2d 20 65 72 61 73 65 20 3b 0a   over - erase ;.
07a0: 0a 3a 20 73 6b 2d 6d 61 73 6b 20 28 20 73 6b 20  .: sk-mask ( sk 
07b0: 2d 2d 20 29 20 20 64 75 70 20 63 40 20 24 46 38  -- )  dup c@ $F8
07c0: 20 61 6e 64 20 6f 76 65 72 20 63 21 0a 20 20 20   and over c!.   
07d0: 20 24 31 46 20 2b 20 64 75 70 20 63 40 20 24 37   $1F + dup c@ $7
07e0: 46 20 61 6e 64 20 24 34 30 20 6f 72 20 73 77 61  F and $40 or swa
07f0: 70 20 63 21 20 3b 0a 0a 3a 20 67 65 6e 2d 73 6b  p c! ;..: gen-sk
0800: 20 28 20 73 6b 20 2d 2d 20 29 20 3e 72 0a 20 20   ( sk -- ) >r.  
0810: 20 20 5c 47 20 67 65 6e 65 72 61 74 65 20 61 20    \G generate a 
0820: 73 65 63 72 65 74 20 6b 65 79 20 77 69 74 68 20  secret key with 
0830: 74 68 65 20 72 69 67 68 74 20 62 69 74 73 20 73  the right bits s
0840: 65 74 20 61 6e 64 20 63 6c 65 61 72 65 64 0a 20  et and cleared. 
0850: 20 20 20 24 32 30 20 72 6e 67 24 20 72 40 20 73     $20 rng$ r@ s
0860: 77 61 70 20 6d 6f 76 65 20 72 3e 20 73 6b 2d 6d  wap move r> sk-m
0870: 61 73 6b 20 3b 0a 0a 3a 20 73 6b 3e 70 6b 20 28  ask ;..: sk>pk (
0880: 20 73 6b 20 70 6b 20 2d 2d 20 29 0a 20 20 20 20   sk pk -- ).    
0890: 5c 47 20 63 6f 6e 76 65 72 74 20 61 20 73 65 63  \G convert a sec
08a0: 72 65 74 20 6b 65 79 20 74 6f 20 61 20 70 75 62  ret key to a pub
08b0: 6c 69 63 20 6b 65 79 0a 20 20 20 20 73 63 74 30  lic key.    sct0
08c0: 20 72 6f 74 20 72 61 77 3e 73 63 32 35 35 31 39   rot raw>sc25519
08d0: 0a 20 20 20 20 67 65 74 30 20 73 63 74 30 20 67  .    get0 sct0 g
08e0: 65 32 35 35 31 39 2a 62 61 73 65 0a 20 20 20 20  e25519*base.    
08f0: 67 65 74 30 20 67 65 32 35 35 31 39 2d 70 61 63  get0 ge25519-pac
0900: 6b 20 63 6c 65 61 6e 2d 65 64 32 35 35 31 39 20  k clean-ed25519 
0910: 3b 0a 0a 3a 20 65 64 2d 6b 65 79 70 61 69 72 20  ;..: ed-keypair 
0920: 28 20 73 6b 20 70 6b 20 2d 2d 20 29 0a 20 20 20  ( sk pk -- ).   
0930: 20 5c 47 20 67 65 6e 65 72 61 74 65 20 61 20 6b   \G generate a k
0940: 65 79 70 61 69 72 0a 20 20 20 20 6f 76 65 72 20  eypair.    over 
0950: 67 65 6e 2d 73 6b 20 73 6b 3e 70 6b 20 3b 0a 0a  gen-sk sk>pk ;..
0960: 3a 20 65 64 2d 6b 65 79 70 61 69 72 78 20 7b 20  : ed-keypairx { 
0970: 73 6b 31 20 70 6b 72 65 76 20 73 6b 63 20 70 6b  sk1 pkrev skc pk
0980: 63 20 2d 2d 20 7d 0a 20 20 20 20 73 63 74 32 20  c -- }.    sct2 
0990: 73 6b 31 20 72 61 77 3e 73 63 32 35 35 31 39 0a  sk1 raw>sc25519.
09a0: 20 20 20 20 70 6b 72 65 76 20 73 6b 2d 6d 61 73      pkrev sk-mas
09b0: 6b 20 20 73 63 74 31 20 70 6b 72 65 76 20 72 61  k  sct1 pkrev ra
09c0: 77 3e 73 63 32 35 35 31 39 0a 20 20 20 20 73 6b  w>sc25519.    sk
09d0: 31 20 4b 45 59 42 59 54 45 53 20 65 72 61 73 65  1 KEYBYTES erase
09e0: 20 20 70 6b 72 65 76 20 4b 45 59 42 59 54 45 53    pkrev KEYBYTES
09f0: 20 65 72 61 73 65 20 5c 20 74 68 69 6e 67 73 20   erase \ things 
0a00: 77 65 20 64 6f 6e 27 74 20 6e 65 65 64 20 61 6e  we don't need an
0a10: 79 6d 6f 72 65 0a 20 20 20 20 73 63 74 32 20 73  ymore.    sct2 s
0a20: 63 74 32 20 73 63 74 31 20 73 63 32 35 35 31 39  ct2 sct1 sc25519
0a30: 2a 0a 20 20 20 20 73 6b 63 20 73 63 74 32 20 73  *.    skc sct2 s
0a40: 63 32 35 35 31 39 3e 33 32 62 0a 20 20 20 20 73  c25519>32b.    s
0a50: 6b 63 20 70 6b 63 20 73 6b 3e 70 6b 20 3b 20 5c  kc pkc sk>pk ; \
0a60: 20 74 68 69 73 20 61 6c 73 6f 20 63 6c 65 61 6e   this also clean
0a70: 73 20 75 70 20 74 65 6d 70 20 73 74 75 66 66 0a  s up temp stuff.
0a80: 0a 3a 20 3e 68 61 73 68 20 28 20 61 64 64 72 20  .: >hash ( addr 
0a90: 75 20 2d 2d 20 29 0a 20 20 20 20 5c 47 20 61 62  u -- ).    \G ab
0aa0: 73 6f 72 62 20 61 20 73 68 6f 72 74 20 73 74 72  sorb a short str
0ab0: 69 6e 67 2c 20 70 65 72 66 6f 72 6d 20 61 20 68  ing, perform a h
0ac0: 61 73 68 20 72 6f 75 6e 64 0a 20 20 20 20 5c 47  ash round.    \G
0ad0: 20 61 6e 64 20 6f 75 74 70 75 74 20 36 34 20 62   and output 64 b
0ae0: 79 74 65 73 20 74 6f 20 68 61 73 68 74 6d 70 0a  ytes to hashtmp.
0af0: 20 20 20 20 63 3a 73 68 6f 72 74 68 61 73 68 20      c:shorthash 
0b00: 68 61 73 68 74 6d 70 20 24 34 30 20 63 3a 68 61  hashtmp $40 c:ha
0b10: 73 68 40 20 3b 0a 0a 3a 20 65 64 2d 73 69 67 6e  sh@ ;..: ed-sign
0b20: 20 7b 20 73 6b 68 20 73 6b 20 70 6b 20 2d 2d 20   { skh sk pk -- 
0b30: 73 69 67 20 75 20 7d 0a 20 20 20 20 5c 47 20 73  sig u }.    \G s
0b40: 69 67 6e 20 61 20 6d 65 73 73 61 67 65 3a 20 74  ign a message: t
0b50: 68 65 20 6b 65 63 63 61 6b 20 73 74 61 74 65 20  he keccak state 
0b60: 63 6f 6e 74 61 69 6e 73 20 74 68 65 20 68 61 73  contains the has
0b70: 68 20 6f 66 20 74 68 65 20 6d 65 73 73 61 67 65  h of the message
0b80: 2e 0a 20 20 20 20 63 3a 6b 65 79 40 20 68 73 74  ..    c:key@ hst
0b90: 61 74 65 74 6d 70 20 63 3a 6b 65 79 23 20 6d 6f  atetmp c:key# mo
0ba0: 76 65 20 5c 20 77 65 20 6e 65 65 64 20 74 68 69  ve \ we need thi
0bb0: 73 20 74 77 69 63 65 20 2d 20 6d 6f 76 65 20 61  s twice - move a
0bc0: 77 61 79 0a 20 20 20 20 73 6b 68 20 24 32 30 20  way.    skh $20 
0bd0: 3e 68 61 73 68 20 20 20 20 20 20 20 20 20 20 20  >hash           
0be0: 20 20 20 20 20 5c 20 67 65 6e 20 22 72 61 6e 64       \ gen "rand
0bf0: 6f 6d 20 6e 75 6d 62 65 72 22 20 66 72 6f 6d 20  om number" from 
0c00: 73 65 63 72 65 74 20 74 6f 20 68 61 73 68 74 6d  secret to hashtm
0c10: 70 0a 20 20 20 20 68 73 74 61 74 65 74 6d 70 20  p.    hstatetmp 
0c20: 63 3a 6b 65 79 40 20 63 3a 6b 65 79 23 20 6d 6f  c:key@ c:key# mo
0c30: 76 65 20 5c 20 72 65 73 74 6f 72 65 20 73 74 61  ve \ restore sta
0c40: 74 65 0a 20 20 20 20 73 63 74 33 20 68 61 73 68  te.    sct3 hash
0c50: 74 6d 70 20 36 34 62 3e 73 63 32 35 35 31 39 20  tmp 64b>sc25519 
0c60: 20 20 20 20 5c 20 73 63 74 33 20 69 73 20 6b 0a      \ sct3 is k.
0c70: 20 20 20 20 67 65 74 30 20 73 63 74 33 20 67 65      get0 sct3 ge
0c80: 32 35 35 31 39 2a 62 61 73 65 20 20 20 20 20 20  25519*base      
0c90: 20 5c 20 67 65 74 30 20 69 73 20 72 3d 6b 2a 62   \ get0 is r=k*b
0ca0: 61 73 65 0a 20 20 20 20 73 69 67 62 75 66 20 67  ase.    sigbuf g
0cb0: 65 74 30 20 67 65 32 35 35 31 39 2d 70 61 63 6b  et0 ge25519-pack
0cc0: 0a 20 20 20 20 70 6b 20 73 69 67 62 75 66 20 24  .    pk sigbuf $
0cd0: 32 30 20 2b 20 24 32 30 20 6d 6f 76 65 0a 20 20  20 + $20 move.  
0ce0: 20 20 73 69 67 62 75 66 20 24 34 30 20 3e 68 61    sigbuf $40 >ha
0cf0: 73 68 20 20 20 20 20 20 20 20 20 20 20 20 20 5c  sh             \
0d00: 20 7a 3d 68 61 73 68 28 72 2c 70 6b 2c 6d 65 73   z=hash(r,pk,mes
0d10: 73 61 67 65 29 0a 20 20 20 20 73 63 74 31 20 68  sage).    sct1 h
0d20: 61 73 68 74 6d 70 20 36 34 62 3e 73 63 32 35 35  ashtmp 64b>sc255
0d30: 31 39 20 20 20 20 20 5c 20 73 63 74 31 20 69 73  19     \ sct1 is
0d40: 20 7a 0a 20 20 20 20 73 63 74 32 20 73 6b 20 72   z.    sct2 sk r
0d50: 61 77 3e 73 63 32 35 35 31 39 20 20 20 20 20 20  aw>sc25519      
0d60: 20 20 20 20 5c 20 73 63 74 32 20 69 73 20 73 6b      \ sct2 is sk
0d70: 0a 20 20 20 20 73 63 74 31 20 73 63 74 31 20 73  .    sct1 sct1 s
0d80: 63 74 32 20 73 63 32 35 35 31 39 2a 0a 20 20 20  ct2 sc25519*.   
0d90: 20 73 63 74 31 20 73 63 74 31 20 73 63 74 33 20   sct1 sct1 sct3 
0da0: 73 63 32 35 35 31 39 2b 20 20 20 20 20 20 5c 20  sc25519+      \ 
0db0: 73 3d 7a 2a 73 6b 2b 6b 0a 20 20 20 20 73 69 67  s=z*sk+k.    sig
0dc0: 62 75 66 20 24 32 30 20 2b 20 73 63 74 31 20 73  buf $20 + sct1 s
0dd0: 63 32 35 35 31 39 3e 33 32 62 0a 20 20 20 20 63  c25519>32b.    c
0de0: 6c 65 61 6e 2d 65 64 32 35 35 31 39 20 73 69 67  lean-ed25519 sig
0df0: 62 75 66 20 24 34 30 20 3b 20 20 20 5c 20 72 2c  buf $40 ;   \ r,
0e00: 73 0a 0a 55 56 61 6c 75 65 20 6e 6f 2d 65 64 2d  s..UValue no-ed-
0e10: 63 68 65 63 6b 3f 0a 30 20 74 6f 20 6e 6f 2d 65  check?.0 to no-e
0e20: 64 2d 63 68 65 63 6b 3f 0a 0a 3a 20 65 64 2d 63  d-check?..: ed-c
0e30: 68 65 63 6b 3f 20 7b 20 73 69 67 20 70 6b 20 2d  heck? { sig pk -
0e40: 2d 20 66 6c 61 67 20 7d 0a 20 20 20 20 5c 47 20  - flag }.    \G 
0e50: 63 68 65 63 6b 20 61 20 6d 65 73 73 61 67 65 3a  check a message:
0e60: 20 74 68 65 20 6b 65 63 63 61 6b 20 73 74 61 74   the keccak stat
0e70: 65 20 63 6f 6e 74 61 69 6e 73 20 74 68 65 20 68  e contains the h
0e80: 61 73 68 20 6f 66 20 74 68 65 20 6d 65 73 73 61  ash of the messa
0e90: 67 65 2e 0a 20 20 20 20 5c 47 20 54 68 65 20 75  ge..    \G The u
0ea0: 6e 70 61 63 6b 65 64 20 70 6b 20 69 73 20 69 6e  npacked pk is in
0eb0: 20 67 65 74 30 2c 20 73 6f 20 74 68 69 73 20 77   get0, so this w
0ec0: 6f 72 64 20 63 61 6e 20 62 65 20 75 73 65 64 20  ord can be used 
0ed0: 66 6f 72 20 62 61 74 63 68 20 63 68 65 63 6b 69  for batch checki
0ee0: 6e 67 2e 0a 20 20 20 20 5c 47 20 73 69 67 20 61  ng..    \G sig a
0ef0: 6e 64 20 70 6b 20 6e 65 65 64 20 74 6f 20 62 65  nd pk need to be
0f00: 20 61 6c 69 67 6e 65 64 20 70 72 6f 70 65 72 6c   aligned properl
0f10: 79 2c 20 65 64 2d 76 65 72 69 66 79 20 64 6f 65  y, ed-verify doe
0f20: 73 20 74 68 61 74 20 61 6c 69 67 6e 6d 65 6e 74  s that alignment
0f30: 0a 20 20 20 20 6e 6f 2d 65 64 2d 63 68 65 63 6b  .    no-ed-check
0f40: 3f 20 49 46 20 20 74 72 75 65 20 20 45 58 49 54  ? IF  true  EXIT
0f50: 20 20 54 48 45 4e 0a 20 20 20 20 73 69 67 20 68    THEN.    sig h
0f60: 61 73 68 74 6d 70 20 24 32 30 20 6d 6f 76 65 20  ashtmp $20 move 
0f70: 20 70 6b 20 68 61 73 68 74 6d 70 20 24 32 30 20   pk hashtmp $20 
0f80: 2b 20 24 32 30 20 6d 6f 76 65 0a 20 20 20 20 68  + $20 move.    h
0f90: 61 73 68 74 6d 70 20 24 34 30 20 63 3a 73 68 6f  ashtmp $40 c:sho
0fa0: 72 74 68 61 73 68 20 68 61 73 68 74 6d 70 20 24  rthash hashtmp $
0fb0: 34 30 20 63 3a 68 61 73 68 40 20 5c 20 7a 3d 68  40 c:hash@ \ z=h
0fc0: 61 73 68 28 72 2b 70 6b 2b 6d 65 73 73 61 67 65  ash(r+pk+message
0fd0: 29 0a 20 20 20 20 73 63 74 32 20 68 61 73 68 74  ).    sct2 hasht
0fe0: 6d 70 20 36 34 62 3e 73 63 32 35 35 31 39 20 20  mp 64b>sc25519  
0ff0: 20 20 20 20 20 5c 20 73 63 74 32 20 69 73 20 7a       \ sct2 is z
1000: 0a 20 20 20 20 73 63 74 33 20 73 69 67 20 24 32  .    sct3 sig $2
1010: 30 20 2b 20 72 61 77 3e 73 63 32 35 35 31 39 20  0 + raw>sc25519 
1020: 20 20 20 20 5c 20 73 63 74 33 20 69 73 20 73 0a      \ sct3 is s.
1030: 20 20 20 20 67 65 74 31 20 67 65 74 30 20 73 63      get1 get0 sc
1040: 74 32 20 73 63 74 33 20 67 65 32 35 35 31 39 2a  t2 sct3 ge25519*
1050: 2b 20 20 5c 20 62 61 73 65 2a 73 2d 70 6b 2a 7a  +  \ base*s-pk*z
1060: 0a 20 20 20 20 73 69 67 62 75 66 20 24 34 30 20  .    sigbuf $40 
1070: 2b 20 67 65 74 31 20 67 65 32 35 35 31 39 2d 70  + get1 ge25519-p
1080: 61 63 6b 20 5c 20 3d 72 0a 20 20 20 20 73 69 67  ack \ =r.    sig
1090: 20 73 69 67 62 75 66 20 24 34 30 20 2b 20 33 32   sigbuf $40 + 32
10a0: 62 3d 20 3b 0a 0a 3a 20 65 64 2d 76 65 72 69 66  b= ;..: ed-verif
10b0: 79 20 28 20 73 69 67 20 70 6b 20 2d 2d 20 66 6c  y ( sig pk -- fl
10c0: 61 67 20 29 20 5c 20 6d 65 73 73 61 67 65 20 64  ag ) \ message d
10d0: 69 67 65 73 74 20 69 73 20 69 6e 20 6b 65 63 63  igest is in kecc
10e0: 61 6b 20 73 74 61 74 65 0a 20 20 20 20 70 6b 74  ak state.    pkt
10f0: 6d 70 20 24 32 30 20 6d 6f 76 65 20 20 73 69 67  mp $20 move  sig
1100: 74 6d 70 20 24 34 30 20 6d 6f 76 65 20 5c 20 61  tmp $40 move \ a
1110: 6c 69 67 6e 20 69 6e 70 75 74 73 0a 20 20 20 20  lign inputs.    
1120: 67 65 74 30 20 70 6b 74 6d 70 20 67 65 32 35 35  get0 pktmp ge255
1130: 31 39 2d 75 6e 70 61 63 6b 2d 20 30 3d 20 20 49  19-unpack- 0=  I
1140: 46 20 20 66 61 6c 73 65 20 45 58 49 54 20 20 54  F  false EXIT  T
1150: 48 45 4e 20 5c 20 62 61 64 20 70 75 62 6b 65 79  HEN \ bad pubkey
1160: 0a 20 20 20 20 73 69 67 74 6d 70 20 70 6b 74 6d  .    sigtmp pktm
1170: 70 20 65 64 2d 63 68 65 63 6b 3f 20 3b 0a 0a 3a  p ed-check? ;..:
1180: 20 65 64 2d 71 75 69 63 6b 63 68 65 63 6b 3f 20   ed-quickcheck? 
1190: 7b 20 73 6b 68 20 73 6b 20 73 69 67 20 70 6b 20  { skh sk sig pk 
11a0: 2d 2d 20 66 6c 61 67 20 7d 0a 20 20 20 20 5c 47  -- flag }.    \G
11b0: 20 71 75 69 63 6b 20 63 68 65 63 6b 20 61 20 6d   quick check a m
11c0: 65 73 73 61 67 65 20 73 69 67 6e 65 64 20 62 79  essage signed by
11d0: 20 6f 75 72 73 65 6c 66 3a 20 74 68 65 20 6b 65   ourself: the ke
11e0: 63 63 61 6b 20 73 74 61 74 65 0a 20 20 20 20 5c  ccak state.    \
11f0: 47 20 63 6f 6e 74 61 69 6e 73 20 74 68 65 20 68  G contains the h
1200: 61 73 68 20 6f 66 20 74 68 65 20 6d 65 73 73 61  ash of the messa
1210: 67 65 2e 0a 20 20 20 20 63 3a 6b 65 79 40 20 68  ge..    c:key@ h
1220: 73 74 61 74 65 74 6d 70 20 63 3a 6b 65 79 23 20  statetmp c:key# 
1230: 6d 6f 76 65 20 5c 20 77 65 20 6e 65 65 64 20 74  move \ we need t
1240: 68 69 73 20 74 77 69 63 65 20 2d 20 6d 6f 76 65  his twice - move
1250: 20 61 77 61 79 0a 20 20 20 20 73 6b 68 20 24 32   away.    skh $2
1260: 30 20 3e 68 61 73 68 20 20 20 20 20 20 20 20 20  0 >hash         
1270: 20 20 20 20 20 20 20 5c 20 67 65 6e 20 22 72 61         \ gen "ra
1280: 6e 64 6f 6d 20 6e 75 6d 62 65 72 22 20 66 72 6f  ndom number" fro
1290: 6d 20 73 65 63 72 65 74 20 74 6f 20 68 61 73 68  m secret to hash
12a0: 74 6d 70 0a 20 20 20 20 68 73 74 61 74 65 74 6d  tmp.    hstatetm
12b0: 70 20 63 3a 6b 65 79 40 20 63 3a 6b 65 79 23 20  p c:key@ c:key# 
12c0: 6d 6f 76 65 20 5c 20 72 65 73 74 6f 72 65 20 73  move \ restore s
12d0: 74 61 74 65 0a 20 20 20 20 73 63 74 33 20 68 61  tate.    sct3 ha
12e0: 73 68 74 6d 70 20 36 34 62 3e 73 63 32 35 35 31  shtmp 64b>sc2551
12f0: 39 20 20 20 20 20 5c 20 73 63 74 33 20 69 73 20  9     \ sct3 is 
1300: 6b 0a 20 20 20 20 73 69 67 20 68 61 73 68 74 6d  k.    sig hashtm
1310: 70 20 24 32 30 20 6d 6f 76 65 20 20 70 6b 20 68  p $20 move  pk h
1320: 61 73 68 74 6d 70 20 24 32 30 20 2b 20 24 32 30  ashtmp $20 + $20
1330: 20 6d 6f 76 65 0a 20 20 20 20 68 61 73 68 74 6d   move.    hashtm
1340: 70 20 24 34 30 20 63 3a 73 68 6f 72 74 68 61 73  p $40 c:shorthas
1350: 68 20 68 61 73 68 74 6d 70 20 24 34 30 20 63 3a  h hashtmp $40 c:
1360: 68 61 73 68 40 20 5c 20 7a 3d 68 61 73 68 28 72  hash@ \ z=hash(r
1370: 2b 70 6b 2b 6d 65 73 73 61 67 65 29 0a 20 20 20  +pk+message).   
1380: 20 73 63 74 32 20 68 61 73 68 74 6d 70 20 36 34   sct2 hashtmp 64
1390: 62 3e 73 63 32 35 35 31 39 20 20 20 20 20 5c 20  b>sc25519     \ 
13a0: 73 63 74 32 20 69 73 20 7a 0a 20 20 20 20 73 63  sct2 is z.    sc
13b0: 74 31 20 73 6b 20 72 61 77 3e 73 63 32 35 35 31  t1 sk raw>sc2551
13c0: 39 20 20 20 20 20 20 20 20 20 20 5c 20 73 63 74  9          \ sct
13d0: 31 20 69 73 20 73 6b 0a 20 20 20 20 73 63 74 31  1 is sk.    sct1
13e0: 20 73 63 74 32 20 73 63 74 31 20 73 63 32 35 35   sct2 sct1 sc255
13f0: 31 39 2a 20 20 20 20 20 20 5c 20 73 63 74 31 20  19*      \ sct1 
1400: 69 73 20 7a 2a 73 6b 0a 20 20 20 20 73 63 74 33  is z*sk.    sct3
1410: 20 73 63 74 33 20 73 63 74 31 20 73 63 32 35 35   sct3 sct1 sc255
1420: 31 39 2b 20 20 20 20 20 20 5c 20 73 63 74 33 20  19+      \ sct3 
1430: 69 73 20 73 3d 7a 2a 73 6b 2b 6b 0a 20 20 20 20  is s=z*sk+k.    
1440: 73 69 67 62 75 66 20 24 34 30 20 2b 20 73 63 74  sigbuf $40 + sct
1450: 33 20 73 63 32 35 35 31 39 3e 33 32 62 0a 20 20  3 sc25519>32b.  
1460: 20 20 73 69 67 62 75 66 20 24 34 30 20 2b 20 73    sigbuf $40 + s
1470: 69 67 20 24 32 30 20 2b 20 33 32 62 3d 20 3f 64  ig $20 + 32b= ?d
1480: 75 70 2d 30 3d 2d 49 46 0a 09 5c 20 71 75 69 63  up-0=-IF..\ quic
1490: 6b 20 63 68 65 63 6b 20 66 61 69 6c 65 64 2c 20  k check failed, 
14a0: 64 6f 20 73 6c 6f 77 20 63 68 65 63 6b 0a 09 5c  do slow check..\
14b0: 20 6f 6c 64 20 73 69 67 6e 61 74 75 72 65 73 20   old signatures 
14c0: 68 61 64 20 61 20 64 69 66 66 65 72 65 6e 74 20  had a different 
14d0: 73 6b 68 0a 09 73 63 74 33 20 73 69 67 20 24 32  skh..sct3 sig $2
14e0: 30 20 2b 20 72 61 77 3e 73 63 32 35 35 31 39 20  0 + raw>sc25519 
14f0: 20 20 20 20 5c 20 73 63 74 33 20 69 73 20 73 0a      \ sct3 is s.
1500: 09 67 65 74 31 20 67 65 74 30 20 73 63 74 32 20  .get1 get0 sct2 
1510: 73 63 74 33 20 67 65 32 35 35 31 39 2a 2b 20 20  sct3 ge25519*+  
1520: 5c 20 62 61 73 65 2a 73 2d 70 6b 2a 7a 0a 09 73  \ base*s-pk*z..s
1530: 69 67 62 75 66 20 24 34 30 20 2b 20 67 65 74 31  igbuf $40 + get1
1540: 20 67 65 32 35 35 31 39 2d 70 61 63 6b 20 5c 20   ge25519-pack \ 
1550: 3d 72 0a 09 73 69 67 20 73 69 67 62 75 66 20 24  =r..sig sigbuf $
1560: 34 30 20 2b 20 33 32 62 3d 0a 20 20 20 20 54 48  40 + 32b=.    TH
1570: 45 4e 0a 20 20 20 20 63 6c 65 61 6e 2d 65 64 32  EN.    clean-ed2
1580: 35 35 31 39 20 3b 0a 0a 3a 20 65 64 2d 71 75 69  5519 ;..: ed-qui
1590: 63 6b 2d 76 65 72 69 66 79 20 28 20 73 6b 68 20  ck-verify ( skh 
15a0: 73 6b 20 73 69 67 20 70 6b 20 2d 2d 20 66 6c 61  sk sig pk -- fla
15b0: 67 20 29 20 5c 20 6d 65 73 73 61 67 65 20 64 69  g ) \ message di
15c0: 67 65 73 74 20 69 73 20 69 6e 20 6b 65 63 63 61  gest is in kecca
15d0: 6b 20 73 74 61 74 65 0a 20 20 20 20 70 6b 74 6d  k state.    pktm
15e0: 70 20 24 32 30 20 6d 6f 76 65 20 20 73 69 67 74  p $20 move  sigt
15f0: 6d 70 20 24 34 30 20 6d 6f 76 65 20 5c 20 61 6c  mp $40 move \ al
1600: 69 67 6e 20 69 6e 70 75 74 73 0a 20 20 20 20 67  ign inputs.    g
1610: 65 74 30 20 70 6b 74 6d 70 20 67 65 32 35 35 31  et0 pktmp ge2551
1620: 39 2d 75 6e 70 61 63 6b 2d 20 30 3d 20 20 49 46  9-unpack- 0=  IF
1630: 20 20 66 61 6c 73 65 20 45 58 49 54 20 20 54 48    false EXIT  TH
1640: 45 4e 20 5c 20 62 61 64 20 70 75 62 6b 65 79 0a  EN \ bad pubkey.
1650: 20 20 20 20 73 69 67 74 6d 70 20 70 6b 74 6d 70      sigtmp pktmp
1660: 20 65 64 2d 71 75 69 63 6b 63 68 65 63 6b 3f 20   ed-quickcheck? 
1670: 3b 0a 0a 3a 20 65 64 2d 64 68 20 7b 20 73 6b 20  ;..: ed-dh { sk 
1680: 70 6b 20 64 65 73 74 20 2d 2d 20 73 65 63 72 65  pk dest -- secre
1690: 74 20 6c 65 6e 20 7d 0a 20 20 20 20 70 6b 20 70  t len }.    pk p
16a0: 6b 74 6d 70 20 24 32 30 20 6d 6f 76 65 0a 20 20  ktmp $20 move.  
16b0: 20 20 67 65 74 30 20 70 6b 74 6d 70 20 67 65 32    get0 pktmp ge2
16c0: 35 35 31 39 2d 75 6e 70 61 63 6b 2d 20 30 3d 20  5519-unpack- 0= 
16d0: 21 21 6e 6f 2d 65 64 2d 6b 65 79 21 21 0a 20 20  !!no-ed-key!!.  
16e0: 20 20 73 63 74 32 20 73 6b 20 72 61 77 3e 73 63    sct2 sk raw>sc
16f0: 32 35 35 31 39 0a 20 20 20 20 67 65 74 31 20 67  25519.    get1 g
1700: 65 74 30 20 73 63 74 32 20 67 65 32 35 35 31 39  et0 sct2 ge25519
1710: 2a 0a 20 20 20 20 64 65 73 74 20 67 65 74 31 20  *.    dest get1 
1720: 67 65 32 35 35 31 39 2d 70 61 63 6b 0a 20 20 20  ge25519-pack.   
1730: 20 63 6c 65 61 6e 2d 65 64 32 35 35 31 39 20 64   clean-ed25519 d
1740: 65 73 74 20 24 32 30 20 20 24 38 30 20 64 65 73  est $20  $80 des
1750: 74 20 24 31 46 20 2b 20 78 6f 72 63 21 20 3b 0a  t $1F + xorc! ;.
1760: 0a 3a 20 65 64 2d 64 68 78 20 7b 20 6f 66 66 73  .: ed-dhx { offs
1770: 65 74 20 73 6b 20 70 6b 20 64 65 73 74 20 2d 2d  et sk pk dest --
1780: 20 73 65 63 72 65 74 20 6c 65 6e 20 7d 0a 20 20   secret len }.  
1790: 20 20 70 6b 20 70 6b 74 6d 70 20 24 32 30 20 6d    pk pktmp $20 m
17a0: 6f 76 65 0a 20 20 20 20 67 65 74 30 20 70 6b 74  ove.    get0 pkt
17b0: 6d 70 20 67 65 32 35 35 31 39 2d 75 6e 70 61 63  mp ge25519-unpac
17c0: 6b 2d 20 30 3d 20 21 21 6e 6f 2d 65 64 2d 6b 65  k- 0= !!no-ed-ke
17d0: 79 21 21 0a 20 20 20 20 73 63 74 32 20 73 6b 20  y!!.    sct2 sk 
17e0: 72 61 77 3e 73 63 32 35 35 31 39 0a 20 20 20 20  raw>sc25519.    
17f0: 6f 66 66 73 65 74 20 70 6b 74 6d 70 20 24 32 30  offset pktmp $20
1800: 20 6d 6f 76 65 0a 20 20 20 20 73 63 74 31 20 70   move.    sct1 p
1810: 6b 74 6d 70 20 33 32 62 3e 73 63 32 35 35 31 39  ktmp 32b>sc25519
1820: 0a 20 20 20 20 73 63 74 32 20 73 63 74 32 20 73  .    sct2 sct2 s
1830: 63 74 31 20 73 63 32 35 35 31 39 2a 0a 20 20 20  ct1 sc25519*.   
1840: 20 67 65 74 31 20 67 65 74 30 20 73 63 74 32 20   get1 get0 sct2 
1850: 67 65 32 35 35 31 39 2a 0a 20 20 20 20 64 65 73  ge25519*.    des
1860: 74 20 67 65 74 31 20 67 65 32 35 35 31 39 2d 70  t get1 ge25519-p
1870: 61 63 6b 0a 20 20 20 20 63 6c 65 61 6e 2d 65 64  ack.    clean-ed
1880: 32 35 35 31 39 20 64 65 73 74 20 24 32 30 20 20  25519 dest $20  
1890: 24 38 30 20 64 65 73 74 20 24 31 46 20 2b 20 78  $80 dest $1F + x
18a0: 6f 72 63 21 20 3b 0a 0a 5c 20 3a 20 65 64 2d 64  orc! ;..\ : ed-d
18b0: 68 76 20 7b 20 73 6b 20 70 6b 20 64 65 73 74 20  hv { sk pk dest 
18c0: 2d 2d 20 73 65 63 72 65 74 20 6c 65 6e 20 7d 0a  -- secret len }.
18d0: 5c 20 20 20 20 20 67 65 74 30 20 70 6b 20 67 65  \     get0 pk ge
18e0: 32 35 35 31 39 2d 75 6e 70 61 63 6b 2d 20 30 3d  25519-unpack- 0=
18f0: 20 21 21 6e 6f 2d 65 64 2d 6b 65 79 21 21 0a 5c   !!no-ed-key!!.\
1900: 20 20 20 20 20 73 63 74 32 20 73 6b 20 72 61 77       sct2 sk raw
1910: 3e 73 63 32 35 35 31 39 0a 5c 20 20 20 20 20 67  >sc25519.\     g
1920: 65 74 31 20 67 65 74 30 20 73 63 74 32 20 67 65  et1 get0 sct2 ge
1930: 32 35 35 31 39 2a 76 0a 5c 20 20 20 20 20 64 65  25519*v.\     de
1940: 73 74 20 67 65 74 31 20 67 65 32 35 35 31 39 2d  st get1 ge25519-
1950: 70 61 63 6b 0a 5c 20 20 20 20 20 63 6c 65 61 6e  pack.\     clean
1960: 2d 65 64 32 35 35 31 39 20 64 65 73 74 20 24 32  -ed25519 dest $2
1970: 30 20 20 24 38 30 20 64 65 73 74 20 24 31 46 20  0  $80 dest $1F 
1980: 2b 20 78 6f 72 63 21 20 3b 0a                    + xorc! ;.