<div dir="ltr"><div>> Interesting sidebar: ECDSA nonces were one of the sources of 
Bitcoin's transaction malleability.<br>> The (massive pile of hacks that is) 
segregated witness feature being added to Bitcoin has an added<br>> side 
effect of removing signatures from the hash of a transaction, and with 
it the associated malleability.<br>> All that said, if you're designing a new system today, pick Ed25519.<br><br></div>FYI, while Ed25519 specifies that the nonce should be set deterministically, a signer can set it randomly and the signature will still verify.  In fact, I don't see any way for a verifier to know if a signature was generated with a deterministic or a random nonce, so using Ed25519 might not solve malleability.<br></div>