Artifact
23a5e4147d6309015c46aef122f6c61f45f78d7c:
- File
ed25519-donna.fs
— part of check-in
[ccb7b5cfed]
at
2017-10-20 22:12:44
on branch trunk
— Start some work on $quid
(user:
bernd
size: 6461)
0000: 5c 20 49 6e 74 65 72 66 61 63 65 20 74 6f 20 74 \ Interface to t
0010: 68 65 20 65 64 32 35 35 31 39 20 70 72 69 6d 69 he ed25519 primi
0020: 74 69 76 65 73 20 66 72 6f 6d 20 64 6f 6e 6e 61 tives from donna
0030: 20 20 20 20 20 32 33 6f 63 74 32 30 31 33 70 79 23oct2013py
0040: 0a 0a 5c 20 43 6f 70 79 72 69 67 68 74 20 28 43 ..\ Copyright (C
0050: 29 20 32 30 31 33 2d 32 30 31 35 20 20 20 42 65 ) 2013-2015 Be
0060: 72 6e 64 20 50 61 79 73 61 6e 0a 0a 5c 20 54 68 rnd Paysan..\ Th
0070: 69 73 20 70 72 6f 67 72 61 6d 20 69 73 20 66 72 is program is fr
0080: 65 65 20 73 6f 66 74 77 61 72 65 3a 20 79 6f 75 ee software: you
0090: 20 63 61 6e 20 72 65 64 69 73 74 72 69 62 75 74 can redistribut
00a0: 65 20 69 74 20 61 6e 64 2f 6f 72 20 6d 6f 64 69 e it and/or modi
00b0: 66 79 0a 5c 20 69 74 20 75 6e 64 65 72 20 74 68 fy.\ it under th
00c0: 65 20 74 65 72 6d 73 20 6f 66 20 74 68 65 20 47 e terms of the G
00d0: 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65 72 61 NU Affero Genera
00e0: 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e 73 65 l Public License
00f0: 20 61 73 20 70 75 62 6c 69 73 68 65 64 20 62 79 as published by
0100: 0a 5c 20 74 68 65 20 46 72 65 65 20 53 6f 66 74 .\ the Free Soft
0110: 77 61 72 65 20 46 6f 75 6e 64 61 74 69 6f 6e 2c ware Foundation,
0120: 20 65 69 74 68 65 72 20 76 65 72 73 69 6f 6e 20 either version
0130: 33 20 6f 66 20 74 68 65 20 4c 69 63 65 6e 73 65 3 of the License
0140: 2c 20 6f 72 0a 5c 20 28 61 74 20 79 6f 75 72 20 , or.\ (at your
0150: 6f 70 74 69 6f 6e 29 20 61 6e 79 20 6c 61 74 65 option) any late
0160: 72 20 76 65 72 73 69 6f 6e 2e 0a 0a 5c 20 54 68 r version...\ Th
0170: 69 73 20 70 72 6f 67 72 61 6d 20 69 73 20 64 69 is program is di
0180: 73 74 72 69 62 75 74 65 64 20 69 6e 20 74 68 65 stributed in the
0190: 20 68 6f 70 65 20 74 68 61 74 20 69 74 20 77 69 hope that it wi
01a0: 6c 6c 20 62 65 20 75 73 65 66 75 6c 2c 0a 5c 20 ll be useful,.\
01b0: 62 75 74 20 57 49 54 48 4f 55 54 20 41 4e 59 20 but WITHOUT ANY
01c0: 57 41 52 52 41 4e 54 59 3b 20 77 69 74 68 6f 75 WARRANTY; withou
01d0: 74 20 65 76 65 6e 20 74 68 65 20 69 6d 70 6c 69 t even the impli
01e0: 65 64 20 77 61 72 72 61 6e 74 79 20 6f 66 0a 5c ed warranty of.\
01f0: 20 4d 45 52 43 48 41 4e 54 41 42 49 4c 49 54 59 MERCHANTABILITY
0200: 20 6f 72 20 46 49 54 4e 45 53 53 20 46 4f 52 20 or FITNESS FOR
0210: 41 20 50 41 52 54 49 43 55 4c 41 52 20 50 55 52 A PARTICULAR PUR
0220: 50 4f 53 45 2e 20 20 53 65 65 20 74 68 65 0a 5c POSE. See the.\
0230: 20 47 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65 GNU Affero Gene
0240: 72 61 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e ral Public Licen
0250: 73 65 20 66 6f 72 20 6d 6f 72 65 20 64 65 74 61 se for more deta
0260: 69 6c 73 2e 0a 0a 5c 20 59 6f 75 20 73 68 6f 75 ils...\ You shou
0270: 6c 64 20 68 61 76 65 20 72 65 63 65 69 76 65 64 ld have received
0280: 20 61 20 63 6f 70 79 20 6f 66 20 74 68 65 20 47 a copy of the G
0290: 4e 55 20 41 66 66 65 72 6f 20 47 65 6e 65 72 61 NU Affero Genera
02a0: 6c 20 50 75 62 6c 69 63 20 4c 69 63 65 6e 73 65 l Public License
02b0: 0a 5c 20 61 6c 6f 6e 67 20 77 69 74 68 20 74 68 .\ along with th
02c0: 69 73 20 70 72 6f 67 72 61 6d 2e 20 20 49 66 20 is program. If
02d0: 6e 6f 74 2c 20 73 65 65 20 3c 68 74 74 70 3a 2f not, see <http:/
02e0: 2f 77 77 77 2e 67 6e 75 2e 6f 72 67 2f 6c 69 63 /www.gnu.org/lic
02f0: 65 6e 73 65 73 2f 3e 2e 0a 0a 5c 20 54 68 65 20 enses/>...\ The
0300: 68 69 67 68 20 6c 65 76 65 6c 20 73 74 75 66 66 high level stuff
0310: 20 69 73 20 61 6c 6c 20 69 6e 20 46 6f 72 74 68 is all in Forth
0320: 0a 0a 5c 20 64 75 6d 6d 79 20 6c 6f 61 64 20 66 ..\ dummy load f
0330: 6f 72 20 41 6e 64 72 6f 69 64 0a 0a 72 65 71 75 or Android..requ
0340: 69 72 65 20 72 65 63 2d 73 63 6f 70 65 2e 66 73 ire rec-scope.fs
0350: 0a 72 65 71 75 69 72 65 20 75 6e 69 78 2f 63 70 .require unix/cp
0360: 75 2e 66 73 0a 0a 66 61 73 74 2d 6c 69 62 20 5b u.fs..fast-lib [
0370: 49 46 5d 0a 20 20 20 20 72 65 71 75 69 72 65 20 IF]. require
0380: 65 64 32 35 35 31 39 2d 64 6f 6e 6e 61 66 61 73 ed25519-donnafas
0390: 74 2e 66 73 0a 5b 45 4c 53 45 5d 0a 20 20 20 20 t.fs.[ELSE].
03a0: 5b 49 46 44 45 46 5d 20 61 6e 64 72 6f 69 64 0a [IFDEF] android.
03b0: 09 73 22 20 6c 69 62 65 64 32 35 35 31 39 70 72 .s" libed25519pr
03c0: 69 6d 73 2e 73 6f 22 20 63 2d 6c 69 62 3a 6f 70 ims.so" c-lib:op
03d0: 65 6e 2d 70 61 74 68 2d 6c 69 62 20 64 72 6f 70 en-path-lib drop
03e0: 0a 20 20 20 20 5b 54 48 45 4e 5d 0a 20 20 20 20 . [THEN].
03f0: 63 2d 6c 69 62 72 61 72 79 20 65 64 32 35 35 31 c-library ed2551
0400: 39 5f 64 6f 6e 6e 61 0a 09 22 65 64 32 35 35 31 9_donna.."ed2551
0410: 39 70 72 69 6d 73 22 20 61 64 64 2d 6c 69 62 0a 9prims" add-lib.
0420: 09 69 6e 63 6c 75 64 65 20 65 64 32 35 35 31 39 .include ed25519
0430: 2d 64 6f 6e 6e 61 6c 69 62 2e 66 73 0a 20 20 20 -donnalib.fs.
0440: 20 65 6e 64 2d 63 2d 6c 69 62 72 61 72 79 0a 5b end-c-library.[
0450: 54 48 45 4e 5d 0a 0a 5b 49 46 55 4e 44 45 46 5d THEN]..[IFUNDEF]
0460: 20 63 6c 61 73 73 20 62 79 65 20 5b 54 48 45 4e class bye [THEN
0470: 5d 20 5c 20 73 74 6f 70 20 68 65 72 65 20 69 66 ] \ stop here if
0480: 20 6c 69 62 63 6f 6d 70 69 6c 65 20 6f 6e 6c 79 libcompile only
0490: 0a 0a 3a 20 33 32 62 3e 73 63 32 35 35 31 39 20 ..: 32b>sc25519
04a0: 33 32 20 6e 62 3e 73 63 32 35 35 31 39 20 3b 0a 32 nb>sc25519 ;.
04b0: 3a 20 36 34 62 3e 73 63 32 35 35 31 39 20 36 34 : 64b>sc25519 64
04c0: 20 6e 62 3e 73 63 32 35 35 31 39 20 3b 0a 0a 24 nb>sc25519 ;..$
04d0: 32 30 20 43 6f 6e 73 74 61 6e 74 20 4b 45 59 42 20 Constant KEYB
04e0: 59 54 45 53 0a 0a 75 73 65 72 2d 6f 20 65 64 62 YTES..user-o edb
04f0: 75 66 0a 0a 6f 62 6a 65 63 74 20 63 6c 61 73 73 uf..object class
0500: 0a 20 20 20 20 24 36 30 20 75 76 61 72 20 73 69 . $60 uvar si
0510: 67 62 75 66 0a 20 20 20 20 24 33 30 20 75 76 61 gbuf. $30 uva
0520: 72 20 73 63 74 30 0a 20 20 20 20 24 33 30 20 75 r sct0. $30 u
0530: 76 61 72 20 73 63 74 31 0a 20 20 20 20 24 33 30 var sct1. $30
0540: 20 75 76 61 72 20 73 63 74 32 0a 20 20 20 20 24 uvar sct2. $
0550: 33 30 20 75 76 61 72 20 73 63 74 33 0a 20 20 20 30 uvar sct3.
0560: 20 24 43 30 20 75 76 61 72 20 67 65 74 30 0a 20 $C0 uvar get0.
0570: 20 20 20 24 43 30 20 75 76 61 72 20 67 65 74 31 $C0 uvar get1
0580: 0a 20 20 20 20 24 34 30 20 75 76 61 72 20 68 61 . $40 uvar ha
0590: 73 68 74 6d 70 0a 20 20 20 20 24 34 30 20 75 76 shtmp. $40 uv
05a0: 61 72 20 73 69 67 74 6d 70 0a 20 20 20 20 24 32 ar sigtmp. $2
05b0: 30 20 75 76 61 72 20 70 6b 74 6d 70 0a 20 20 20 0 uvar pktmp.
05c0: 20 6b 65 63 63 61 6b 23 20 75 76 61 72 20 68 73 keccak# uvar hs
05d0: 74 61 74 65 74 6d 70 0a 20 20 20 20 63 65 6c 6c tatetmp. cell
05e0: 20 75 76 61 72 20 74 61 73 6b 2d 69 64 0a 65 6e uvar task-id.en
05f0: 64 2d 63 6c 61 73 73 20 65 64 62 75 66 2d 63 0a d-class edbuf-c.
0600: 0a 3a 20 69 6e 69 74 2d 65 64 32 35 35 31 39 0a .: init-ed25519.
0610: 20 20 20 20 65 64 62 75 66 20 40 20 49 46 20 20 edbuf @ IF
0620: 74 61 73 6b 2d 69 64 20 40 20 75 70 40 20 3d 20 task-id @ up@ =
0630: 3f 45 58 49 54 20 20 54 48 45 4e 0a 20 20 20 20 ?EXIT THEN.
0640: 5b 3a 20 65 64 62 75 66 2d 63 20 6e 65 77 20 65 [: edbuf-c new e
0650: 64 62 75 66 20 21 20 3b 5d 20 63 72 79 70 74 6f dbuf ! ;] crypto
0660: 2d 61 20 77 69 74 68 2d 61 6c 6c 6f 63 61 74 65 -a with-allocate
0670: 72 0a 20 20 20 20 75 70 40 20 74 61 73 6b 2d 69 r. up@ task-i
0680: 64 20 21 20 3b 0a 0a 69 6e 69 74 2d 65 64 32 35 d ! ;..init-ed25
0690: 35 31 39 0a 0a 3a 20 66 72 65 65 2d 65 64 32 35 519..: free-ed25
06a0: 35 31 39 20 28 20 2d 2d 20 29 0a 20 20 20 20 65 519 ( -- ). e
06b0: 64 62 75 66 20 40 20 3f 64 75 70 2d 49 46 20 20 dbuf @ ?dup-IF
06c0: 5b 3a 20 2e 64 69 73 70 6f 73 65 20 3b 5d 20 63 [: .dispose ;] c
06d0: 72 79 70 74 6f 2d 61 20 77 69 74 68 2d 61 6c 6c rypto-a with-all
06e0: 6f 63 61 74 65 72 20 20 54 48 45 4e 0a 20 20 20 ocater THEN.
06f0: 20 65 64 62 75 66 20 6f 66 66 20 3b 0a 0a 3a 6e edbuf off ;..:n
0700: 6f 6e 61 6d 65 20 64 65 66 65 72 73 20 27 69 6d oname defers 'im
0710: 61 67 65 20 65 64 62 75 66 20 6f 66 66 20 3b 20 age edbuf off ;
0720: 69 73 20 27 69 6d 61 67 65 0a 0a 3a 20 63 6c 65 is 'image..: cle
0730: 61 6e 2d 65 64 32 35 35 31 39 20 28 20 2d 2d 20 an-ed25519 ( --
0740: 29 0a 20 20 20 20 5c 67 20 64 6f 20 74 68 69 73 ). \g do this
0750: 20 65 76 65 72 79 20 74 69 6d 65 20 79 6f 75 20 every time you
0760: 63 6f 6d 70 75 74 65 64 20 75 73 69 6e 67 20 73 computed using s
0770: 6f 6d 65 74 68 69 6e 67 20 73 65 63 72 65 74 0a omething secret.
0780: 20 20 20 20 73 63 74 30 20 74 61 73 6b 2d 69 64 sct0 task-id
0790: 20 6f 76 65 72 20 2d 20 65 72 61 73 65 20 3b 0a over - erase ;.
07a0: 0a 3a 20 73 6b 2d 6d 61 73 6b 20 28 20 73 6b 20 .: sk-mask ( sk
07b0: 2d 2d 20 29 20 20 64 75 70 20 63 40 20 24 46 38 -- ) dup c@ $F8
07c0: 20 61 6e 64 20 6f 76 65 72 20 63 21 0a 20 20 20 and over c!.
07d0: 20 24 31 46 20 2b 20 64 75 70 20 63 40 20 24 37 $1F + dup c@ $7
07e0: 46 20 61 6e 64 20 24 34 30 20 6f 72 20 73 77 61 F and $40 or swa
07f0: 70 20 63 21 20 3b 0a 0a 3a 20 67 65 6e 2d 73 6b p c! ;..: gen-sk
0800: 20 28 20 73 6b 20 2d 2d 20 29 20 3e 72 0a 20 20 ( sk -- ) >r.
0810: 20 20 5c 47 20 67 65 6e 65 72 61 74 65 20 61 20 \G generate a
0820: 73 65 63 72 65 74 20 6b 65 79 20 77 69 74 68 20 secret key with
0830: 74 68 65 20 72 69 67 68 74 20 62 69 74 73 20 73 the right bits s
0840: 65 74 20 61 6e 64 20 63 6c 65 61 72 65 64 0a 20 et and cleared.
0850: 20 20 20 24 32 30 20 72 6e 67 24 20 72 40 20 73 $20 rng$ r@ s
0860: 77 61 70 20 6d 6f 76 65 20 72 3e 20 73 6b 2d 6d wap move r> sk-m
0870: 61 73 6b 20 3b 0a 0a 3a 20 73 6b 3e 70 6b 20 28 ask ;..: sk>pk (
0880: 20 73 6b 20 70 6b 20 2d 2d 20 29 0a 20 20 20 20 sk pk -- ).
0890: 5c 47 20 63 6f 6e 76 65 72 74 20 61 20 73 65 63 \G convert a sec
08a0: 72 65 74 20 6b 65 79 20 74 6f 20 61 20 70 75 62 ret key to a pub
08b0: 6c 69 63 20 6b 65 79 0a 20 20 20 20 73 63 74 30 lic key. sct0
08c0: 20 72 6f 74 20 72 61 77 3e 73 63 32 35 35 31 39 rot raw>sc25519
08d0: 0a 20 20 20 20 67 65 74 30 20 73 63 74 30 20 67 . get0 sct0 g
08e0: 65 32 35 35 31 39 2a 62 61 73 65 0a 20 20 20 20 e25519*base.
08f0: 67 65 74 30 20 67 65 32 35 35 31 39 2d 70 61 63 get0 ge25519-pac
0900: 6b 20 63 6c 65 61 6e 2d 65 64 32 35 35 31 39 20 k clean-ed25519
0910: 3b 0a 0a 3a 20 65 64 2d 6b 65 79 70 61 69 72 20 ;..: ed-keypair
0920: 28 20 73 6b 20 70 6b 20 2d 2d 20 29 0a 20 20 20 ( sk pk -- ).
0930: 20 5c 47 20 67 65 6e 65 72 61 74 65 20 61 20 6b \G generate a k
0940: 65 79 70 61 69 72 0a 20 20 20 20 6f 76 65 72 20 eypair. over
0950: 67 65 6e 2d 73 6b 20 73 6b 3e 70 6b 20 3b 0a 0a gen-sk sk>pk ;..
0960: 3a 20 65 64 2d 6b 65 79 70 61 69 72 78 20 7b 20 : ed-keypairx {
0970: 73 6b 31 20 70 6b 72 65 76 20 73 6b 63 20 70 6b sk1 pkrev skc pk
0980: 63 20 2d 2d 20 7d 0a 20 20 20 20 73 63 74 32 20 c -- }. sct2
0990: 73 6b 31 20 72 61 77 3e 73 63 32 35 35 31 39 0a sk1 raw>sc25519.
09a0: 20 20 20 20 70 6b 72 65 76 20 73 6b 2d 6d 61 73 pkrev sk-mas
09b0: 6b 20 20 73 63 74 31 20 70 6b 72 65 76 20 72 61 k sct1 pkrev ra
09c0: 77 3e 73 63 32 35 35 31 39 0a 20 20 20 20 73 6b w>sc25519. sk
09d0: 31 20 4b 45 59 42 59 54 45 53 20 65 72 61 73 65 1 KEYBYTES erase
09e0: 20 20 70 6b 72 65 76 20 4b 45 59 42 59 54 45 53 pkrev KEYBYTES
09f0: 20 65 72 61 73 65 20 5c 20 74 68 69 6e 67 73 20 erase \ things
0a00: 77 65 20 64 6f 6e 27 74 20 6e 65 65 64 20 61 6e we don't need an
0a10: 79 6d 6f 72 65 0a 20 20 20 20 73 63 74 32 20 73 ymore. sct2 s
0a20: 63 74 32 20 73 63 74 31 20 73 63 32 35 35 31 39 ct2 sct1 sc25519
0a30: 2a 0a 20 20 20 20 73 6b 63 20 73 63 74 32 20 73 *. skc sct2 s
0a40: 63 32 35 35 31 39 3e 33 32 62 0a 20 20 20 20 73 c25519>32b. s
0a50: 6b 63 20 70 6b 63 20 73 6b 3e 70 6b 20 3b 20 5c kc pkc sk>pk ; \
0a60: 20 74 68 69 73 20 61 6c 73 6f 20 63 6c 65 61 6e this also clean
0a70: 73 20 75 70 20 74 65 6d 70 20 73 74 75 66 66 0a s up temp stuff.
0a80: 0a 3a 20 3e 68 61 73 68 20 28 20 61 64 64 72 20 .: >hash ( addr
0a90: 75 20 2d 2d 20 29 0a 20 20 20 20 5c 47 20 61 62 u -- ). \G ab
0aa0: 73 6f 72 62 20 61 20 73 68 6f 72 74 20 73 74 72 sorb a short str
0ab0: 69 6e 67 2c 20 70 65 72 66 6f 72 6d 20 61 20 68 ing, perform a h
0ac0: 61 73 68 20 72 6f 75 6e 64 0a 20 20 20 20 5c 47 ash round. \G
0ad0: 20 61 6e 64 20 6f 75 74 70 75 74 20 36 34 20 62 and output 64 b
0ae0: 79 74 65 73 20 74 6f 20 68 61 73 68 74 6d 70 0a ytes to hashtmp.
0af0: 20 20 20 20 63 3a 73 68 6f 72 74 68 61 73 68 20 c:shorthash
0b00: 68 61 73 68 74 6d 70 20 24 34 30 20 63 3a 68 61 hashtmp $40 c:ha
0b10: 73 68 40 20 3b 0a 0a 3a 20 65 64 2d 73 69 67 6e sh@ ;..: ed-sign
0b20: 20 7b 20 73 6b 68 20 73 6b 20 70 6b 20 2d 2d 20 { skh sk pk --
0b30: 73 69 67 20 75 20 7d 0a 20 20 20 20 5c 47 20 73 sig u }. \G s
0b40: 69 67 6e 20 61 20 6d 65 73 73 61 67 65 3a 20 74 ign a message: t
0b50: 68 65 20 6b 65 63 63 61 6b 20 73 74 61 74 65 20 he keccak state
0b60: 63 6f 6e 74 61 69 6e 73 20 74 68 65 20 68 61 73 contains the has
0b70: 68 20 6f 66 20 74 68 65 20 6d 65 73 73 61 67 65 h of the message
0b80: 2e 0a 20 20 20 20 63 3a 6b 65 79 40 20 68 73 74 .. c:key@ hst
0b90: 61 74 65 74 6d 70 20 63 3a 6b 65 79 23 20 6d 6f atetmp c:key# mo
0ba0: 76 65 20 5c 20 77 65 20 6e 65 65 64 20 74 68 69 ve \ we need thi
0bb0: 73 20 74 77 69 63 65 20 2d 20 6d 6f 76 65 20 61 s twice - move a
0bc0: 77 61 79 0a 20 20 20 20 73 6b 68 20 24 32 30 20 way. skh $20
0bd0: 3e 68 61 73 68 20 20 20 20 20 20 20 20 20 20 20 >hash
0be0: 20 20 20 20 20 5c 20 67 65 6e 20 22 72 61 6e 64 \ gen "rand
0bf0: 6f 6d 20 6e 75 6d 62 65 72 22 20 66 72 6f 6d 20 om number" from
0c00: 73 65 63 72 65 74 20 74 6f 20 68 61 73 68 74 6d secret to hashtm
0c10: 70 0a 20 20 20 20 68 73 74 61 74 65 74 6d 70 20 p. hstatetmp
0c20: 63 3a 6b 65 79 40 20 63 3a 6b 65 79 23 20 6d 6f c:key@ c:key# mo
0c30: 76 65 20 5c 20 72 65 73 74 6f 72 65 20 73 74 61 ve \ restore sta
0c40: 74 65 0a 20 20 20 20 73 63 74 33 20 68 61 73 68 te. sct3 hash
0c50: 74 6d 70 20 36 34 62 3e 73 63 32 35 35 31 39 20 tmp 64b>sc25519
0c60: 20 20 20 20 5c 20 73 63 74 33 20 69 73 20 6b 0a \ sct3 is k.
0c70: 20 20 20 20 67 65 74 30 20 73 63 74 33 20 67 65 get0 sct3 ge
0c80: 32 35 35 31 39 2a 62 61 73 65 20 20 20 20 20 20 25519*base
0c90: 20 5c 20 67 65 74 30 20 69 73 20 72 3d 6b 2a 62 \ get0 is r=k*b
0ca0: 61 73 65 0a 20 20 20 20 73 69 67 62 75 66 20 67 ase. sigbuf g
0cb0: 65 74 30 20 67 65 32 35 35 31 39 2d 70 61 63 6b et0 ge25519-pack
0cc0: 0a 20 20 20 20 70 6b 20 73 69 67 62 75 66 20 24 . pk sigbuf $
0cd0: 32 30 20 2b 20 24 32 30 20 6d 6f 76 65 0a 20 20 20 + $20 move.
0ce0: 20 20 73 69 67 62 75 66 20 24 34 30 20 3e 68 61 sigbuf $40 >ha
0cf0: 73 68 20 20 20 20 20 20 20 20 20 20 20 20 20 5c sh \
0d00: 20 7a 3d 68 61 73 68 28 72 2c 70 6b 2c 6d 65 73 z=hash(r,pk,mes
0d10: 73 61 67 65 29 0a 20 20 20 20 73 63 74 31 20 68 sage). sct1 h
0d20: 61 73 68 74 6d 70 20 36 34 62 3e 73 63 32 35 35 ashtmp 64b>sc255
0d30: 31 39 20 20 20 20 20 5c 20 73 63 74 31 20 69 73 19 \ sct1 is
0d40: 20 7a 0a 20 20 20 20 73 63 74 32 20 73 6b 20 72 z. sct2 sk r
0d50: 61 77 3e 73 63 32 35 35 31 39 20 20 20 20 20 20 aw>sc25519
0d60: 20 20 20 20 5c 20 73 63 74 32 20 69 73 20 73 6b \ sct2 is sk
0d70: 0a 20 20 20 20 73 63 74 31 20 73 63 74 31 20 73 . sct1 sct1 s
0d80: 63 74 32 20 73 63 32 35 35 31 39 2a 0a 20 20 20 ct2 sc25519*.
0d90: 20 73 63 74 31 20 73 63 74 31 20 73 63 74 33 20 sct1 sct1 sct3
0da0: 73 63 32 35 35 31 39 2b 20 20 20 20 20 20 5c 20 sc25519+ \
0db0: 73 3d 7a 2a 73 6b 2b 6b 0a 20 20 20 20 73 69 67 s=z*sk+k. sig
0dc0: 62 75 66 20 24 32 30 20 2b 20 73 63 74 31 20 73 buf $20 + sct1 s
0dd0: 63 32 35 35 31 39 3e 33 32 62 0a 20 20 20 20 63 c25519>32b. c
0de0: 6c 65 61 6e 2d 65 64 32 35 35 31 39 20 73 69 67 lean-ed25519 sig
0df0: 62 75 66 20 24 34 30 20 3b 20 20 20 5c 20 72 2c buf $40 ; \ r,
0e00: 73 0a 0a 3a 20 65 64 2d 63 68 65 63 6b 3f 20 7b s..: ed-check? {
0e10: 20 73 69 67 20 70 6b 20 2d 2d 20 66 6c 61 67 20 sig pk -- flag
0e20: 7d 0a 20 20 20 20 5c 47 20 63 68 65 63 6b 20 61 }. \G check a
0e30: 20 6d 65 73 73 61 67 65 3a 20 74 68 65 20 6b 65 message: the ke
0e40: 63 63 61 6b 20 73 74 61 74 65 20 63 6f 6e 74 61 ccak state conta
0e50: 69 6e 73 20 74 68 65 20 68 61 73 68 20 6f 66 20 ins the hash of
0e60: 74 68 65 20 6d 65 73 73 61 67 65 2e 0a 20 20 20 the message..
0e70: 20 5c 47 20 54 68 65 20 75 6e 70 61 63 6b 65 64 \G The unpacked
0e80: 20 70 6b 20 69 73 20 69 6e 20 67 65 74 30 2c 20 pk is in get0,
0e90: 73 6f 20 74 68 69 73 20 77 6f 72 64 20 63 61 6e so this word can
0ea0: 20 62 65 20 75 73 65 64 20 66 6f 72 20 62 61 74 be used for bat
0eb0: 63 68 20 63 68 65 63 6b 69 6e 67 2e 0a 20 20 20 ch checking..
0ec0: 20 5c 47 20 73 69 67 20 61 6e 64 20 70 6b 20 6e \G sig and pk n
0ed0: 65 65 64 20 74 6f 20 62 65 20 61 6c 69 67 6e 65 eed to be aligne
0ee0: 64 20 70 72 6f 70 65 72 6c 79 2c 20 65 64 2d 76 d properly, ed-v
0ef0: 65 72 69 66 79 20 64 6f 65 73 20 74 68 61 74 20 erify does that
0f00: 61 6c 69 67 6e 6d 65 6e 74 0a 20 20 20 20 73 69 alignment. si
0f10: 67 20 68 61 73 68 74 6d 70 20 24 32 30 20 6d 6f g hashtmp $20 mo
0f20: 76 65 20 20 70 6b 20 68 61 73 68 74 6d 70 20 24 ve pk hashtmp $
0f30: 32 30 20 2b 20 24 32 30 20 6d 6f 76 65 0a 20 20 20 + $20 move.
0f40: 20 20 68 61 73 68 74 6d 70 20 24 34 30 20 63 3a hashtmp $40 c:
0f50: 73 68 6f 72 74 68 61 73 68 20 68 61 73 68 74 6d shorthash hashtm
0f60: 70 20 24 34 30 20 63 3a 68 61 73 68 40 20 5c 20 p $40 c:hash@ \
0f70: 7a 3d 68 61 73 68 28 72 2b 70 6b 2b 6d 65 73 73 z=hash(r+pk+mess
0f80: 61 67 65 29 0a 20 20 20 20 73 63 74 32 20 68 61 age). sct2 ha
0f90: 73 68 74 6d 70 20 36 34 62 3e 73 63 32 35 35 31 shtmp 64b>sc2551
0fa0: 39 20 20 20 20 20 20 20 5c 20 73 63 74 32 20 69 9 \ sct2 i
0fb0: 73 20 7a 0a 20 20 20 20 73 63 74 33 20 73 69 67 s z. sct3 sig
0fc0: 20 24 32 30 20 2b 20 72 61 77 3e 73 63 32 35 35 $20 + raw>sc255
0fd0: 31 39 20 20 20 20 20 5c 20 73 63 74 33 20 69 73 19 \ sct3 is
0fe0: 20 73 0a 20 20 20 20 67 65 74 31 20 67 65 74 30 s. get1 get0
0ff0: 20 73 63 74 32 20 73 63 74 33 20 67 65 32 35 35 sct2 sct3 ge255
1000: 31 39 2a 2b 20 20 5c 20 62 61 73 65 2a 73 2d 70 19*+ \ base*s-p
1010: 6b 2a 7a 0a 20 20 20 20 73 69 67 62 75 66 20 24 k*z. sigbuf $
1020: 34 30 20 2b 20 67 65 74 31 20 67 65 32 35 35 31 40 + get1 ge2551
1030: 39 2d 70 61 63 6b 20 5c 20 3d 72 0a 20 20 20 20 9-pack \ =r.
1040: 73 69 67 20 73 69 67 62 75 66 20 24 34 30 20 2b sig sigbuf $40 +
1050: 20 33 32 62 3d 20 3b 0a 0a 3a 20 65 64 2d 76 65 32b= ;..: ed-ve
1060: 72 69 66 79 20 28 20 73 69 67 20 70 6b 20 2d 2d rify ( sig pk --
1070: 20 66 6c 61 67 20 29 20 5c 20 6d 65 73 73 61 67 flag ) \ messag
1080: 65 20 64 69 67 65 73 74 20 69 73 20 69 6e 20 6b e digest is in k
1090: 65 63 63 61 6b 20 73 74 61 74 65 0a 20 20 20 20 eccak state.
10a0: 70 6b 74 6d 70 20 24 32 30 20 6d 6f 76 65 20 20 pktmp $20 move
10b0: 73 69 67 74 6d 70 20 24 34 30 20 6d 6f 76 65 20 sigtmp $40 move
10c0: 5c 20 61 6c 69 67 6e 20 69 6e 70 75 74 73 0a 20 \ align inputs.
10d0: 20 20 20 67 65 74 30 20 70 6b 74 6d 70 20 67 65 get0 pktmp ge
10e0: 32 35 35 31 39 2d 75 6e 70 61 63 6b 2d 20 30 3d 25519-unpack- 0=
10f0: 20 20 49 46 20 20 66 61 6c 73 65 20 45 58 49 54 IF false EXIT
1100: 20 20 54 48 45 4e 20 5c 20 62 61 64 20 70 75 62 THEN \ bad pub
1110: 6b 65 79 0a 20 20 20 20 73 69 67 74 6d 70 20 70 key. sigtmp p
1120: 6b 74 6d 70 20 65 64 2d 63 68 65 63 6b 3f 20 3b ktmp ed-check? ;
1130: 0a 0a 3a 20 65 64 2d 71 75 69 63 6b 63 68 65 63 ..: ed-quickchec
1140: 6b 3f 20 7b 20 73 6b 68 20 73 6b 20 73 69 67 20 k? { skh sk sig
1150: 70 6b 20 2d 2d 20 66 6c 61 67 20 7d 0a 20 20 20 pk -- flag }.
1160: 20 5c 47 20 71 75 69 63 6b 20 63 68 65 63 6b 20 \G quick check
1170: 61 20 6d 65 73 73 61 67 65 20 73 69 67 6e 65 64 a message signed
1180: 20 62 79 20 6f 75 72 73 65 6c 66 3a 20 74 68 65 by ourself: the
1190: 20 6b 65 63 63 61 6b 20 73 74 61 74 65 0a 20 20 keccak state.
11a0: 20 20 5c 47 20 63 6f 6e 74 61 69 6e 73 20 74 68 \G contains th
11b0: 65 20 68 61 73 68 20 6f 66 20 74 68 65 20 6d 65 e hash of the me
11c0: 73 73 61 67 65 2e 0a 20 20 20 20 63 3a 6b 65 79 ssage.. c:key
11d0: 40 20 68 73 74 61 74 65 74 6d 70 20 63 3a 6b 65 @ hstatetmp c:ke
11e0: 79 23 20 6d 6f 76 65 20 5c 20 77 65 20 6e 65 65 y# move \ we nee
11f0: 64 20 74 68 69 73 20 74 77 69 63 65 20 2d 20 6d d this twice - m
1200: 6f 76 65 20 61 77 61 79 0a 20 20 20 20 73 6b 68 ove away. skh
1210: 20 24 32 30 20 3e 68 61 73 68 20 20 20 20 20 20 $20 >hash
1220: 20 20 20 20 20 20 20 20 20 20 5c 20 67 65 6e 20 \ gen
1230: 22 72 61 6e 64 6f 6d 20 6e 75 6d 62 65 72 22 20 "random number"
1240: 66 72 6f 6d 20 73 65 63 72 65 74 20 74 6f 20 68 from secret to h
1250: 61 73 68 74 6d 70 0a 20 20 20 20 68 73 74 61 74 ashtmp. hstat
1260: 65 74 6d 70 20 63 3a 6b 65 79 40 20 63 3a 6b 65 etmp c:key@ c:ke
1270: 79 23 20 6d 6f 76 65 20 5c 20 72 65 73 74 6f 72 y# move \ restor
1280: 65 20 73 74 61 74 65 0a 20 20 20 20 73 63 74 33 e state. sct3
1290: 20 68 61 73 68 74 6d 70 20 36 34 62 3e 73 63 32 hashtmp 64b>sc2
12a0: 35 35 31 39 20 20 20 20 20 5c 20 73 63 74 33 20 5519 \ sct3
12b0: 69 73 20 6b 0a 20 20 20 20 73 69 67 20 68 61 73 is k. sig has
12c0: 68 74 6d 70 20 24 32 30 20 6d 6f 76 65 20 20 70 htmp $20 move p
12d0: 6b 20 68 61 73 68 74 6d 70 20 24 32 30 20 2b 20 k hashtmp $20 +
12e0: 24 32 30 20 6d 6f 76 65 0a 20 20 20 20 68 61 73 $20 move. has
12f0: 68 74 6d 70 20 24 34 30 20 63 3a 73 68 6f 72 74 htmp $40 c:short
1300: 68 61 73 68 20 68 61 73 68 74 6d 70 20 24 34 30 hash hashtmp $40
1310: 20 63 3a 68 61 73 68 40 20 5c 20 7a 3d 68 61 73 c:hash@ \ z=has
1320: 68 28 72 2b 70 6b 2b 6d 65 73 73 61 67 65 29 0a h(r+pk+message).
1330: 20 20 20 20 73 63 74 32 20 68 61 73 68 74 6d 70 sct2 hashtmp
1340: 20 36 34 62 3e 73 63 32 35 35 31 39 20 20 20 20 64b>sc25519
1350: 20 5c 20 73 63 74 32 20 69 73 20 7a 0a 20 20 20 \ sct2 is z.
1360: 20 73 63 74 31 20 73 6b 20 72 61 77 3e 73 63 32 sct1 sk raw>sc2
1370: 35 35 31 39 20 20 20 20 20 20 20 20 20 20 5c 20 5519 \
1380: 73 63 74 31 20 69 73 20 73 6b 0a 20 20 20 20 73 sct1 is sk. s
1390: 63 74 31 20 73 63 74 32 20 73 63 74 31 20 73 63 ct1 sct2 sct1 sc
13a0: 32 35 35 31 39 2a 20 20 20 20 20 20 5c 20 73 63 25519* \ sc
13b0: 74 31 20 69 73 20 7a 2a 73 6b 0a 20 20 20 20 73 t1 is z*sk. s
13c0: 63 74 33 20 73 63 74 33 20 73 63 74 31 20 73 63 ct3 sct3 sct1 sc
13d0: 32 35 35 31 39 2b 20 20 20 20 20 20 5c 20 73 63 25519+ \ sc
13e0: 74 33 20 69 73 20 73 3d 7a 2a 73 6b 2b 6b 0a 20 t3 is s=z*sk+k.
13f0: 20 20 20 73 69 67 62 75 66 20 24 34 30 20 2b 20 sigbuf $40 +
1400: 73 63 74 33 20 73 63 32 35 35 31 39 3e 33 32 62 sct3 sc25519>32b
1410: 0a 20 20 20 20 73 69 67 62 75 66 20 24 34 30 20 . sigbuf $40
1420: 2b 20 73 69 67 20 24 32 30 20 2b 20 33 32 62 3d + sig $20 + 32b=
1430: 20 3f 64 75 70 2d 30 3d 2d 49 46 0a 09 5c 20 71 ?dup-0=-IF..\ q
1440: 75 69 63 6b 20 63 68 65 63 6b 20 66 61 69 6c 65 uick check faile
1450: 64 2c 20 64 6f 20 73 6c 6f 77 20 63 68 65 63 6b d, do slow check
1460: 0a 09 5c 20 6f 6c 64 20 73 69 67 6e 61 74 75 72 ..\ old signatur
1470: 65 73 20 68 61 64 20 61 20 64 69 66 66 65 72 65 es had a differe
1480: 6e 74 20 73 6b 68 0a 09 73 63 74 33 20 73 69 67 nt skh..sct3 sig
1490: 20 24 32 30 20 2b 20 72 61 77 3e 73 63 32 35 35 $20 + raw>sc255
14a0: 31 39 20 20 20 20 20 5c 20 73 63 74 33 20 69 73 19 \ sct3 is
14b0: 20 73 0a 09 67 65 74 31 20 67 65 74 30 20 73 63 s..get1 get0 sc
14c0: 74 32 20 73 63 74 33 20 67 65 32 35 35 31 39 2a t2 sct3 ge25519*
14d0: 2b 20 20 5c 20 62 61 73 65 2a 73 2d 70 6b 2a 7a + \ base*s-pk*z
14e0: 0a 09 73 69 67 62 75 66 20 24 34 30 20 2b 20 67 ..sigbuf $40 + g
14f0: 65 74 31 20 67 65 32 35 35 31 39 2d 70 61 63 6b et1 ge25519-pack
1500: 20 5c 20 3d 72 0a 09 73 69 67 20 73 69 67 62 75 \ =r..sig sigbu
1510: 66 20 24 34 30 20 2b 20 33 32 62 3d 0a 20 20 20 f $40 + 32b=.
1520: 20 54 48 45 4e 0a 20 20 20 20 63 6c 65 61 6e 2d THEN. clean-
1530: 65 64 32 35 35 31 39 20 3b 0a 0a 3a 20 65 64 2d ed25519 ;..: ed-
1540: 71 75 69 63 6b 2d 76 65 72 69 66 79 20 28 20 73 quick-verify ( s
1550: 6b 68 20 73 6b 20 73 69 67 20 70 6b 20 2d 2d 20 kh sk sig pk --
1560: 66 6c 61 67 20 29 20 5c 20 6d 65 73 73 61 67 65 flag ) \ message
1570: 20 64 69 67 65 73 74 20 69 73 20 69 6e 20 6b 65 digest is in ke
1580: 63 63 61 6b 20 73 74 61 74 65 0a 20 20 20 20 70 ccak state. p
1590: 6b 74 6d 70 20 24 32 30 20 6d 6f 76 65 20 20 73 ktmp $20 move s
15a0: 69 67 74 6d 70 20 24 34 30 20 6d 6f 76 65 20 5c igtmp $40 move \
15b0: 20 61 6c 69 67 6e 20 69 6e 70 75 74 73 0a 20 20 align inputs.
15c0: 20 20 67 65 74 30 20 70 6b 74 6d 70 20 67 65 32 get0 pktmp ge2
15d0: 35 35 31 39 2d 75 6e 70 61 63 6b 2d 20 30 3d 20 5519-unpack- 0=
15e0: 20 49 46 20 20 66 61 6c 73 65 20 45 58 49 54 20 IF false EXIT
15f0: 20 54 48 45 4e 20 5c 20 62 61 64 20 70 75 62 6b THEN \ bad pubk
1600: 65 79 0a 20 20 20 20 73 69 67 74 6d 70 20 70 6b ey. sigtmp pk
1610: 74 6d 70 20 65 64 2d 71 75 69 63 6b 63 68 65 63 tmp ed-quickchec
1620: 6b 3f 20 3b 0a 0a 3a 20 65 64 2d 64 68 20 7b 20 k? ;..: ed-dh {
1630: 73 6b 20 70 6b 20 64 65 73 74 20 2d 2d 20 73 65 sk pk dest -- se
1640: 63 72 65 74 20 6c 65 6e 20 7d 0a 20 20 20 20 70 cret len }. p
1650: 6b 20 70 6b 74 6d 70 20 24 32 30 20 6d 6f 76 65 k pktmp $20 move
1660: 0a 20 20 20 20 67 65 74 30 20 70 6b 74 6d 70 20 . get0 pktmp
1670: 67 65 32 35 35 31 39 2d 75 6e 70 61 63 6b 2d 20 ge25519-unpack-
1680: 30 3d 20 21 21 6e 6f 2d 65 64 2d 6b 65 79 21 21 0= !!no-ed-key!!
1690: 0a 20 20 20 20 73 63 74 32 20 73 6b 20 72 61 77 . sct2 sk raw
16a0: 3e 73 63 32 35 35 31 39 0a 20 20 20 20 67 65 74 >sc25519. get
16b0: 31 20 67 65 74 30 20 73 63 74 32 20 67 65 32 35 1 get0 sct2 ge25
16c0: 35 31 39 2a 0a 20 20 20 20 64 65 73 74 20 67 65 519*. dest ge
16d0: 74 31 20 67 65 32 35 35 31 39 2d 70 61 63 6b 0a t1 ge25519-pack.
16e0: 20 20 20 20 63 6c 65 61 6e 2d 65 64 32 35 35 31 clean-ed2551
16f0: 39 20 64 65 73 74 20 24 32 30 20 20 24 38 30 20 9 dest $20 $80
1700: 64 65 73 74 20 24 31 46 20 2b 20 78 6f 72 63 21 dest $1F + xorc!
1710: 20 3b 0a 0a 3a 20 65 64 2d 64 68 78 20 7b 20 6f ;..: ed-dhx { o
1720: 66 66 73 65 74 20 73 6b 20 70 6b 20 64 65 73 74 ffset sk pk dest
1730: 20 2d 2d 20 73 65 63 72 65 74 20 6c 65 6e 20 7d -- secret len }
1740: 0a 20 20 20 20 70 6b 20 70 6b 74 6d 70 20 24 32 . pk pktmp $2
1750: 30 20 6d 6f 76 65 0a 20 20 20 20 67 65 74 30 20 0 move. get0
1760: 70 6b 74 6d 70 20 67 65 32 35 35 31 39 2d 75 6e pktmp ge25519-un
1770: 70 61 63 6b 2d 20 30 3d 20 21 21 6e 6f 2d 65 64 pack- 0= !!no-ed
1780: 2d 6b 65 79 21 21 0a 20 20 20 20 73 63 74 32 20 -key!!. sct2
1790: 73 6b 20 72 61 77 3e 73 63 32 35 35 31 39 0a 20 sk raw>sc25519.
17a0: 20 20 20 6f 66 66 73 65 74 20 70 6b 74 6d 70 20 offset pktmp
17b0: 24 32 30 20 6d 6f 76 65 0a 20 20 20 20 73 63 74 $20 move. sct
17c0: 31 20 70 6b 74 6d 70 20 33 32 62 3e 73 63 32 35 1 pktmp 32b>sc25
17d0: 35 31 39 0a 20 20 20 20 73 63 74 32 20 73 63 74 519. sct2 sct
17e0: 32 20 73 63 74 31 20 73 63 32 35 35 31 39 2a 0a 2 sct1 sc25519*.
17f0: 20 20 20 20 67 65 74 31 20 67 65 74 30 20 73 63 get1 get0 sc
1800: 74 32 20 67 65 32 35 35 31 39 2a 0a 20 20 20 20 t2 ge25519*.
1810: 64 65 73 74 20 67 65 74 31 20 67 65 32 35 35 31 dest get1 ge2551
1820: 39 2d 70 61 63 6b 0a 20 20 20 20 63 6c 65 61 6e 9-pack. clean
1830: 2d 65 64 32 35 35 31 39 20 64 65 73 74 20 24 32 -ed25519 dest $2
1840: 30 20 20 24 38 30 20 64 65 73 74 20 24 31 46 20 0 $80 dest $1F
1850: 2b 20 78 6f 72 63 21 20 3b 0a 0a 5c 20 3a 20 65 + xorc! ;..\ : e
1860: 64 2d 64 68 76 20 7b 20 73 6b 20 70 6b 20 64 65 d-dhv { sk pk de
1870: 73 74 20 2d 2d 20 73 65 63 72 65 74 20 6c 65 6e st -- secret len
1880: 20 7d 0a 5c 20 20 20 20 20 67 65 74 30 20 70 6b }.\ get0 pk
1890: 20 67 65 32 35 35 31 39 2d 75 6e 70 61 63 6b 2d ge25519-unpack-
18a0: 20 30 3d 20 21 21 6e 6f 2d 65 64 2d 6b 65 79 21 0= !!no-ed-key!
18b0: 21 0a 5c 20 20 20 20 20 73 63 74 32 20 73 6b 20 !.\ sct2 sk
18c0: 72 61 77 3e 73 63 32 35 35 31 39 0a 5c 20 20 20 raw>sc25519.\
18d0: 20 20 67 65 74 31 20 67 65 74 30 20 73 63 74 32 get1 get0 sct2
18e0: 20 67 65 32 35 35 31 39 2a 76 0a 5c 20 20 20 20 ge25519*v.\
18f0: 20 64 65 73 74 20 67 65 74 31 20 67 65 32 35 35 dest get1 ge255
1900: 31 39 2d 70 61 63 6b 0a 5c 20 20 20 20 20 63 6c 19-pack.\ cl
1910: 65 61 6e 2d 65 64 32 35 35 31 39 20 64 65 73 74 ean-ed25519 dest
1920: 20 24 32 30 20 20 24 38 30 20 64 65 73 74 20 24 $20 $80 dest $
1930: 31 46 20 2b 20 78 6f 72 63 21 20 3b 0a 1F + xorc! ;.