<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, May 5, 2019 at 9:07 PM Dominik Pantůček <<a href="mailto:dominik.pantucek@trustica.cz">dominik.pantucek@trustica.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
On 05. 05. 19 4:22, <a href="mailto:jamesd@echeque.com" target="_blank">jamesd@echeque.com</a> wrote:<br>
> I have heard it said that ED25519 supports Schnorr multisignatures,<br>
> <br>
> The Libsodium documentation contains no mention of multi signatures,<br>
> and, because ED25519 is nonprime group, it seems to me that implementing<br>
> Schnorr multisignatures would require an expert in the mathematics of<br>
> elliptic curves - I certainly have no idea how to even begin, and would<br>
> not trust code written by someone not well known.<br>
<br>
the cofactor for Ed25519 is l=8. The problem of "hitting" small subgroup<br>
is easily mitigated if you clear the 3 least-significant bits of your<br>
keys. As long as you are working with points on the curve which are<br>
eight times multiply of the generator point (i.e. 8G, 16G, 24G ...) you<br>
are safe.<br>
<br>
Regarding the multisignatures - I vaguely recall there was a<br>
blockchain-based so-called "cryptocurrency" implementation that got this<br>
wrong and it was easy for attackers to empty many users' "wallets",<br>
because there were only 7 (or maybe 8, doesn't matter though)<br>
brute-force steps required to recover the private keys.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I think the Schnorr signatures are really useful and important. But I would need to see a CFRG RFC and peer review before making use of them in a spec.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I do use the same types of technique for encryption but that doesn't worry me because DH key agreement doesn't disclose the private key even if you do it wrong. El Gamal signatures do.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">It is not just disclosing the private key that is bad. There are pairs of numbers that can be disclosed that allow an attacker to create new sigs even if they don't know the private key.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">There is a vast amount of detail there that I just don't have swap space for in my brain right now. So lets pass it on to the people who think about nothing else and get some grad students on the problem</div><br></div><div> </div></div></div>