Ed25519签名的消息恢复变体？

Ed25519签名方案的消息恢复变体是什么？

Ed25519-MR应该易于使用，快速，具有强大的安全性，并努力远离专利雷区，因为

[Ed25519]是带有附录的签名方案：它为签名的消息添加了512位的签名，以实现128位的推测安全性。 Message-Recovery变体会将一些已签名的消息嵌入到签名中，消息的所谓可恢复部分是成功验证的副产品，无需显式传输。我们希望最大程度地减少整体已签名消息的大小。

已提出具有椭圆曲线离散对数系列的消息恢复功能的签名方案，并获得了专利和标准化（请参见参考书目），包括ECNR（Nyberg-Rueppel）， ECMR（Miyaji），ECAO（阿部-冈本），ECPV（Pintsov-Vanstone，又名ECPVS，PVSSR，ECSSR-PV），ECKNR（KCDSA / Nyberg-Rueppel），其名称分别为[ISO 9796-3]。 >

添加：对于带有附录的签名方案可以实现的收益，我感到困惑。我对[PV1999]和[AO1999]的理解是，对于$ b $位的安全性和任意消息，ECPV和ECAO将$ b $位嵌入到$ 4b $位签名中；当我对其他方案的了解有限时，有人希望嵌入$ 2b $位。


参考文献（可能是椭圆曲线）具有消息恢复功能的离散对数签名。

[NR1993]：Kaisa Nyberg和Rainer A.Rueppel，在CCS 1993的议事过程中，一种基于DSA给出消息恢复的新签名方案；
[NR1994]：id。，基于签名的消息恢复方案离散对数问题，在1994年EuroCrypt会议上进行；
[US'725]：Rainer A. Rueppel和Kaisa Nyberg，数字签名方法和密钥协商方法，US 5,600,725。

[M1995a]和[M1995b]：Atsuko Miyaji，基于离散对数问题的消息恢复签名方案中的弱点（续），在IEICE TF中；
[Mi1996a]：id。，适用于IEICE中消息恢复方案的签名方程式TF;
[Mi1996b]：id。，等效于椭圆曲线上DSA的消息恢复签名方案，在AsiaCrypt 1996的诉讼中；
[Mi1997]：id。，对消息恢复签名进行伪造的另一种对策在IEICE TF中；
[JP'357]：Miyaji Mitsuko，消息解码类型的签名系统，JP Pub。＃H09-034357；
[JP'492]：id。，签名系统，JP Pub。 ＃H09-160492。

[AO1999]：安倍雅之（Masayuki Abe）和冈本达明（Tatsuaki Okamoto），在AsiaCrypt 1999诉讼中以消息恢复作为离散对数的安全签名方案；
[AO2001] id。， ID。，在IEICE TF中；
[JP'178]：id。，消息恢复类型签名系统及其程序存储介质，JP Pub。＃2001-134178。

[PV1999] ：里昂·平佐夫和斯科特·范斯顿e，数字时代的邮政税收，在FC 2000中进行；
[PV2000]：id。，提交给IEEE P1363a的文档，包括[PVSSR-D2]和[PVSSR-D3]。

[BJ2001]：Daniel RL Brown和Don B. Johnson，带有部分消息恢复的签名方案的正式安全证明，在CT-RSA 2001诉讼中；草案：[BJ2000-02]，[BJ2000-06]。

[P1363a]：IEEE Standard 1363a-2004-公钥密码术规范-修订1：其他技术。

[ISO ISO9796-3]：ISO / IEC9796-3：2006，信息技术—安全技术—提供消息恢复的数字签名方案—第3部分：基于离散对数的机制。 HTML和PDF的免费预览。

[X9.92-1]：ANS X9.92-1-2009（2017年再次确认，据报道没有变化）。金融服务业的公共密钥密码术-提供部分消息恢复的数字签名算法-第1部分：椭圆曲线平佐夫-凡斯通签名（ECPVS）。


[Ed25519]：Daniel J. Bernstein，Niels Duif，Tanja Lange，Peter Schwabe，杨博银，高速高安全性签名，在CHES 2011诉讼中。