1d4afb5ceSopenharmony_ci/* $OpenBSD: fe25519.c,v 1.3 2013/12/09 11:03:45 markus Exp $ */ 2d4afb5ceSopenharmony_ci 3d4afb5ceSopenharmony_ci/* 4d4afb5ceSopenharmony_ci * Public Domain, Authors: Daniel J. Bernstein, Niels Duif, Tanja Lange, 5d4afb5ceSopenharmony_ci * Peter Schwabe, Bo-Yin Yang. 6d4afb5ceSopenharmony_ci * Copied from supercop-20130419/crypto_sign/ed25519/ref/fe25519.c 7d4afb5ceSopenharmony_ci */ 8d4afb5ceSopenharmony_ci 9d4afb5ceSopenharmony_ci#include "libwebsockets.h" 10d4afb5ceSopenharmony_ci 11d4afb5ceSopenharmony_ci#define WINDOWSIZE 1 /* Should be 1,2, or 4 */ 12d4afb5ceSopenharmony_ci#define WINDOWMASK ((1<<WINDOWSIZE)-1) 13d4afb5ceSopenharmony_ci 14d4afb5ceSopenharmony_ci#include "fe25519.h" 15d4afb5ceSopenharmony_ci 16d4afb5ceSopenharmony_cistatic uint32_t fe_equal(uint32_t a,uint32_t b) /* 16-bit inputs */ 17d4afb5ceSopenharmony_ci{ 18d4afb5ceSopenharmony_ci uint32_t x = a ^ b; /* 0: yes; 1..65535: no */ 19d4afb5ceSopenharmony_ci x -= 1; /* 4294967295: yes; 0..65534: no */ 20d4afb5ceSopenharmony_ci x >>= 31; /* 1: yes; 0: no */ 21d4afb5ceSopenharmony_ci return x; 22d4afb5ceSopenharmony_ci} 23d4afb5ceSopenharmony_ci 24d4afb5ceSopenharmony_cistatic uint32_t ge(uint32_t a,uint32_t b) /* 16-bit inputs */ 25d4afb5ceSopenharmony_ci{ 26d4afb5ceSopenharmony_ci unsigned int x = a; 27d4afb5ceSopenharmony_ci x -= (unsigned int) b; /* 0..65535: yes; 4294901761..4294967295: no */ 28d4afb5ceSopenharmony_ci x >>= 31; /* 0: yes; 1: no */ 29d4afb5ceSopenharmony_ci x ^= 1; /* 1: yes; 0: no */ 30d4afb5ceSopenharmony_ci return x; 31d4afb5ceSopenharmony_ci} 32d4afb5ceSopenharmony_ci 33d4afb5ceSopenharmony_cistatic uint32_t times19(uint32_t a) 34d4afb5ceSopenharmony_ci{ 35d4afb5ceSopenharmony_ci return (a << 4) + (a << 1) + a; 36d4afb5ceSopenharmony_ci} 37d4afb5ceSopenharmony_ci 38d4afb5ceSopenharmony_cistatic uint32_t times38(uint32_t a) 39d4afb5ceSopenharmony_ci{ 40d4afb5ceSopenharmony_ci return (a << 5) + (a << 2) + (a << 1); 41d4afb5ceSopenharmony_ci} 42d4afb5ceSopenharmony_ci 43d4afb5ceSopenharmony_cistatic void fe_reduce_add_sub(fe25519 *r) 44d4afb5ceSopenharmony_ci{ 45d4afb5ceSopenharmony_ci uint32_t t; 46d4afb5ceSopenharmony_ci int i,rep; 47d4afb5ceSopenharmony_ci 48d4afb5ceSopenharmony_ci for(rep=0;rep<4;rep++) 49d4afb5ceSopenharmony_ci { 50d4afb5ceSopenharmony_ci t = r->v[31] >> 7; 51d4afb5ceSopenharmony_ci r->v[31] &= 127; 52d4afb5ceSopenharmony_ci t = times19(t); 53d4afb5ceSopenharmony_ci r->v[0] += t; 54d4afb5ceSopenharmony_ci for(i=0;i<31;i++) 55d4afb5ceSopenharmony_ci { 56d4afb5ceSopenharmony_ci t = r->v[i] >> 8; 57d4afb5ceSopenharmony_ci r->v[i+1] += t; 58d4afb5ceSopenharmony_ci r->v[i] &= 255; 59d4afb5ceSopenharmony_ci } 60d4afb5ceSopenharmony_ci } 61d4afb5ceSopenharmony_ci} 62d4afb5ceSopenharmony_ci 63d4afb5ceSopenharmony_cistatic void reduce_mul(fe25519 *r) 64d4afb5ceSopenharmony_ci{ 65d4afb5ceSopenharmony_ci uint32_t t; 66d4afb5ceSopenharmony_ci int i,rep; 67d4afb5ceSopenharmony_ci 68d4afb5ceSopenharmony_ci for(rep=0;rep<2;rep++) 69d4afb5ceSopenharmony_ci { 70d4afb5ceSopenharmony_ci t = r->v[31] >> 7; 71d4afb5ceSopenharmony_ci r->v[31] &= 127; 72d4afb5ceSopenharmony_ci t = times19(t); 73d4afb5ceSopenharmony_ci r->v[0] += t; 74d4afb5ceSopenharmony_ci for(i=0;i<31;i++) 75d4afb5ceSopenharmony_ci { 76d4afb5ceSopenharmony_ci t = r->v[i] >> 8; 77d4afb5ceSopenharmony_ci r->v[i+1] += t; 78d4afb5ceSopenharmony_ci r->v[i] &= 255; 79d4afb5ceSopenharmony_ci } 80d4afb5ceSopenharmony_ci } 81d4afb5ceSopenharmony_ci} 82d4afb5ceSopenharmony_ci 83d4afb5ceSopenharmony_ci/* reduction modulo 2^255-19 */ 84d4afb5ceSopenharmony_civoid fe25519_freeze(fe25519 *r) 85d4afb5ceSopenharmony_ci{ 86d4afb5ceSopenharmony_ci int i; 87d4afb5ceSopenharmony_ci uint32_t m = fe_equal(r->v[31],127); 88d4afb5ceSopenharmony_ci 89d4afb5ceSopenharmony_ci for(i=30;i>0;i--) 90d4afb5ceSopenharmony_ci m &= fe_equal(r->v[i],255); 91d4afb5ceSopenharmony_ci m &= ge(r->v[0],237); 92d4afb5ceSopenharmony_ci 93d4afb5ceSopenharmony_ci m = (uint32_t)-(int32_t)m; 94d4afb5ceSopenharmony_ci 95d4afb5ceSopenharmony_ci r->v[31] -= m&127; 96d4afb5ceSopenharmony_ci for(i=30;i>0;i--) 97d4afb5ceSopenharmony_ci r->v[i] -= m&255; 98d4afb5ceSopenharmony_ci r->v[0] -= m&237; 99d4afb5ceSopenharmony_ci} 100d4afb5ceSopenharmony_ci 101d4afb5ceSopenharmony_civoid fe25519_unpack(fe25519 *r, const unsigned char x[32]) 102d4afb5ceSopenharmony_ci{ 103d4afb5ceSopenharmony_ci int i; 104d4afb5ceSopenharmony_ci for(i=0;i<32;i++) r->v[i] = x[i]; 105d4afb5ceSopenharmony_ci r->v[31] &= 127; 106d4afb5ceSopenharmony_ci} 107d4afb5ceSopenharmony_ci 108d4afb5ceSopenharmony_ci/* Assumes input x being reduced below 2^255 */ 109d4afb5ceSopenharmony_civoid fe25519_pack(unsigned char r[32], const fe25519 *x) 110d4afb5ceSopenharmony_ci{ 111d4afb5ceSopenharmony_ci int i; 112d4afb5ceSopenharmony_ci fe25519 y = *x; 113d4afb5ceSopenharmony_ci fe25519_freeze(&y); 114d4afb5ceSopenharmony_ci for(i=0;i<32;i++) 115d4afb5ceSopenharmony_ci r[i] = (unsigned char)y.v[i]; 116d4afb5ceSopenharmony_ci} 117d4afb5ceSopenharmony_ci 118d4afb5ceSopenharmony_ciint fe25519_iszero(const fe25519 *x) 119d4afb5ceSopenharmony_ci{ 120d4afb5ceSopenharmony_ci int i; 121d4afb5ceSopenharmony_ci int r; 122d4afb5ceSopenharmony_ci fe25519 t = *x; 123d4afb5ceSopenharmony_ci fe25519_freeze(&t); 124d4afb5ceSopenharmony_ci r = (int)fe_equal(t.v[0],0); 125d4afb5ceSopenharmony_ci for(i=1;i<32;i++) 126d4afb5ceSopenharmony_ci r &= (int)fe_equal(t.v[i],0); 127d4afb5ceSopenharmony_ci return r; 128d4afb5ceSopenharmony_ci} 129d4afb5ceSopenharmony_ci 130d4afb5ceSopenharmony_ciint fe25519_iseq_vartime(const fe25519 *x, const fe25519 *y) 131d4afb5ceSopenharmony_ci{ 132d4afb5ceSopenharmony_ci int i; 133d4afb5ceSopenharmony_ci fe25519 t1 = *x; 134d4afb5ceSopenharmony_ci fe25519 t2 = *y; 135d4afb5ceSopenharmony_ci fe25519_freeze(&t1); 136d4afb5ceSopenharmony_ci fe25519_freeze(&t2); 137d4afb5ceSopenharmony_ci for(i=0;i<32;i++) 138d4afb5ceSopenharmony_ci if(t1.v[i] != t2.v[i]) return 0; 139d4afb5ceSopenharmony_ci return 1; 140d4afb5ceSopenharmony_ci} 141d4afb5ceSopenharmony_ci 142d4afb5ceSopenharmony_civoid fe25519_cmov(fe25519 *r, const fe25519 *x, unsigned char b) 143d4afb5ceSopenharmony_ci{ 144d4afb5ceSopenharmony_ci int i; 145d4afb5ceSopenharmony_ci uint32_t mask = b; 146d4afb5ceSopenharmony_ci mask = (uint32_t)-(int32_t)mask; 147d4afb5ceSopenharmony_ci for(i=0;i<32;i++) r->v[i] ^= mask & (x->v[i] ^ r->v[i]); 148d4afb5ceSopenharmony_ci} 149d4afb5ceSopenharmony_ci 150d4afb5ceSopenharmony_ciunsigned char fe25519_getparity(const fe25519 *x) 151d4afb5ceSopenharmony_ci{ 152d4afb5ceSopenharmony_ci fe25519 t = *x; 153d4afb5ceSopenharmony_ci fe25519_freeze(&t); 154d4afb5ceSopenharmony_ci return (unsigned char)(t.v[0] & 1); 155d4afb5ceSopenharmony_ci} 156d4afb5ceSopenharmony_ci 157d4afb5ceSopenharmony_civoid fe25519_setone(fe25519 *r) 158d4afb5ceSopenharmony_ci{ 159d4afb5ceSopenharmony_ci int i; 160d4afb5ceSopenharmony_ci r->v[0] = 1; 161d4afb5ceSopenharmony_ci for(i=1;i<32;i++) r->v[i]=0; 162d4afb5ceSopenharmony_ci} 163d4afb5ceSopenharmony_ci 164d4afb5ceSopenharmony_civoid fe25519_setzero(fe25519 *r) 165d4afb5ceSopenharmony_ci{ 166d4afb5ceSopenharmony_ci int i; 167d4afb5ceSopenharmony_ci for(i=0;i<32;i++) r->v[i]=0; 168d4afb5ceSopenharmony_ci} 169d4afb5ceSopenharmony_ci 170d4afb5ceSopenharmony_civoid fe25519_neg(fe25519 *r, const fe25519 *x) 171d4afb5ceSopenharmony_ci{ 172d4afb5ceSopenharmony_ci fe25519 t; 173d4afb5ceSopenharmony_ci int i; 174d4afb5ceSopenharmony_ci for(i=0;i<32;i++) t.v[i]=x->v[i]; 175d4afb5ceSopenharmony_ci fe25519_setzero(r); 176d4afb5ceSopenharmony_ci fe25519_sub(r, r, &t); 177d4afb5ceSopenharmony_ci} 178d4afb5ceSopenharmony_ci 179d4afb5ceSopenharmony_civoid fe25519_add(fe25519 *r, const fe25519 *x, const fe25519 *y) 180d4afb5ceSopenharmony_ci{ 181d4afb5ceSopenharmony_ci int i; 182d4afb5ceSopenharmony_ci for(i=0;i<32;i++) r->v[i] = x->v[i] + y->v[i]; 183d4afb5ceSopenharmony_ci fe_reduce_add_sub(r); 184d4afb5ceSopenharmony_ci} 185d4afb5ceSopenharmony_ci 186d4afb5ceSopenharmony_civoid fe25519_sub(fe25519 *r, const fe25519 *x, const fe25519 *y) 187d4afb5ceSopenharmony_ci{ 188d4afb5ceSopenharmony_ci int i; 189d4afb5ceSopenharmony_ci uint32_t t[32]; 190d4afb5ceSopenharmony_ci t[0] = x->v[0] + 0x1da; 191d4afb5ceSopenharmony_ci t[31] = x->v[31] + 0xfe; 192d4afb5ceSopenharmony_ci for(i=1;i<31;i++) t[i] = x->v[i] + 0x1fe; 193d4afb5ceSopenharmony_ci for(i=0;i<32;i++) r->v[i] = t[i] - y->v[i]; 194d4afb5ceSopenharmony_ci fe_reduce_add_sub(r); 195d4afb5ceSopenharmony_ci} 196d4afb5ceSopenharmony_ci 197d4afb5ceSopenharmony_civoid fe25519_mul(fe25519 *r, const fe25519 *x, const fe25519 *y) 198d4afb5ceSopenharmony_ci{ 199d4afb5ceSopenharmony_ci int i,j; 200d4afb5ceSopenharmony_ci uint32_t t[63]; 201d4afb5ceSopenharmony_ci for(i=0;i<63;i++)t[i] = 0; 202d4afb5ceSopenharmony_ci 203d4afb5ceSopenharmony_ci for(i=0;i<32;i++) 204d4afb5ceSopenharmony_ci for(j=0;j<32;j++) 205d4afb5ceSopenharmony_ci t[i+j] += x->v[i] * y->v[j]; 206d4afb5ceSopenharmony_ci 207d4afb5ceSopenharmony_ci for(i=32;i<63;i++) 208d4afb5ceSopenharmony_ci r->v[i-32] = t[i-32] + times38(t[i]); 209d4afb5ceSopenharmony_ci r->v[31] = t[31]; /* result now in r[0]...r[31] */ 210d4afb5ceSopenharmony_ci 211d4afb5ceSopenharmony_ci reduce_mul(r); 212d4afb5ceSopenharmony_ci} 213d4afb5ceSopenharmony_ci 214d4afb5ceSopenharmony_civoid fe25519_square(fe25519 *r, const fe25519 *x) 215d4afb5ceSopenharmony_ci{ 216d4afb5ceSopenharmony_ci fe25519_mul(r, x, x); 217d4afb5ceSopenharmony_ci} 218d4afb5ceSopenharmony_ci 219d4afb5ceSopenharmony_civoid fe25519_invert(fe25519 *r, const fe25519 *x) 220d4afb5ceSopenharmony_ci{ 221d4afb5ceSopenharmony_ci fe25519 z2; 222d4afb5ceSopenharmony_ci fe25519 z9; 223d4afb5ceSopenharmony_ci fe25519 z11; 224d4afb5ceSopenharmony_ci fe25519 z2_5_0; 225d4afb5ceSopenharmony_ci fe25519 z2_10_0; 226d4afb5ceSopenharmony_ci fe25519 z2_20_0; 227d4afb5ceSopenharmony_ci fe25519 z2_50_0; 228d4afb5ceSopenharmony_ci fe25519 z2_100_0; 229d4afb5ceSopenharmony_ci fe25519 t0; 230d4afb5ceSopenharmony_ci fe25519 t1; 231d4afb5ceSopenharmony_ci int i; 232d4afb5ceSopenharmony_ci 233d4afb5ceSopenharmony_ci /* 2 */ fe25519_square(&z2,x); 234d4afb5ceSopenharmony_ci /* 4 */ fe25519_square(&t1,&z2); 235d4afb5ceSopenharmony_ci /* 8 */ fe25519_square(&t0,&t1); 236d4afb5ceSopenharmony_ci /* 9 */ fe25519_mul(&z9,&t0,x); 237d4afb5ceSopenharmony_ci /* 11 */ fe25519_mul(&z11,&z9,&z2); 238d4afb5ceSopenharmony_ci /* 22 */ fe25519_square(&t0,&z11); 239d4afb5ceSopenharmony_ci /* 2^5 - 2^0 = 31 */ fe25519_mul(&z2_5_0,&t0,&z9); 240d4afb5ceSopenharmony_ci 241d4afb5ceSopenharmony_ci /* 2^6 - 2^1 */ fe25519_square(&t0,&z2_5_0); 242d4afb5ceSopenharmony_ci /* 2^7 - 2^2 */ fe25519_square(&t1,&t0); 243d4afb5ceSopenharmony_ci /* 2^8 - 2^3 */ fe25519_square(&t0,&t1); 244d4afb5ceSopenharmony_ci /* 2^9 - 2^4 */ fe25519_square(&t1,&t0); 245d4afb5ceSopenharmony_ci /* 2^10 - 2^5 */ fe25519_square(&t0,&t1); 246d4afb5ceSopenharmony_ci /* 2^10 - 2^0 */ fe25519_mul(&z2_10_0,&t0,&z2_5_0); 247d4afb5ceSopenharmony_ci 248d4afb5ceSopenharmony_ci /* 2^11 - 2^1 */ fe25519_square(&t0,&z2_10_0); 249d4afb5ceSopenharmony_ci /* 2^12 - 2^2 */ fe25519_square(&t1,&t0); 250d4afb5ceSopenharmony_ci /* 2^20 - 2^10 */ for (i = 2;i < 10;i += 2) { fe25519_square(&t0,&t1); fe25519_square(&t1,&t0); } 251d4afb5ceSopenharmony_ci /* 2^20 - 2^0 */ fe25519_mul(&z2_20_0,&t1,&z2_10_0); 252d4afb5ceSopenharmony_ci 253d4afb5ceSopenharmony_ci /* 2^21 - 2^1 */ fe25519_square(&t0,&z2_20_0); 254d4afb5ceSopenharmony_ci /* 2^22 - 2^2 */ fe25519_square(&t1,&t0); 255d4afb5ceSopenharmony_ci /* 2^40 - 2^20 */ for (i = 2;i < 20;i += 2) { fe25519_square(&t0,&t1); fe25519_square(&t1,&t0); } 256d4afb5ceSopenharmony_ci /* 2^40 - 2^0 */ fe25519_mul(&t0,&t1,&z2_20_0); 257d4afb5ceSopenharmony_ci 258d4afb5ceSopenharmony_ci /* 2^41 - 2^1 */ fe25519_square(&t1,&t0); 259d4afb5ceSopenharmony_ci /* 2^42 - 2^2 */ fe25519_square(&t0,&t1); 260d4afb5ceSopenharmony_ci /* 2^50 - 2^10 */ for (i = 2;i < 10;i += 2) { fe25519_square(&t1,&t0); fe25519_square(&t0,&t1); } 261d4afb5ceSopenharmony_ci /* 2^50 - 2^0 */ fe25519_mul(&z2_50_0,&t0,&z2_10_0); 262d4afb5ceSopenharmony_ci 263d4afb5ceSopenharmony_ci /* 2^51 - 2^1 */ fe25519_square(&t0,&z2_50_0); 264d4afb5ceSopenharmony_ci /* 2^52 - 2^2 */ fe25519_square(&t1,&t0); 265d4afb5ceSopenharmony_ci /* 2^100 - 2^50 */ for (i = 2;i < 50;i += 2) { fe25519_square(&t0,&t1); fe25519_square(&t1,&t0); } 266d4afb5ceSopenharmony_ci /* 2^100 - 2^0 */ fe25519_mul(&z2_100_0,&t1,&z2_50_0); 267d4afb5ceSopenharmony_ci 268d4afb5ceSopenharmony_ci /* 2^101 - 2^1 */ fe25519_square(&t1,&z2_100_0); 269d4afb5ceSopenharmony_ci /* 2^102 - 2^2 */ fe25519_square(&t0,&t1); 270d4afb5ceSopenharmony_ci /* 2^200 - 2^100 */ for (i = 2;i < 100;i += 2) { fe25519_square(&t1,&t0); fe25519_square(&t0,&t1); } 271d4afb5ceSopenharmony_ci /* 2^200 - 2^0 */ fe25519_mul(&t1,&t0,&z2_100_0); 272d4afb5ceSopenharmony_ci 273d4afb5ceSopenharmony_ci /* 2^201 - 2^1 */ fe25519_square(&t0,&t1); 274d4afb5ceSopenharmony_ci /* 2^202 - 2^2 */ fe25519_square(&t1,&t0); 275d4afb5ceSopenharmony_ci /* 2^250 - 2^50 */ for (i = 2;i < 50;i += 2) { fe25519_square(&t0,&t1); fe25519_square(&t1,&t0); } 276d4afb5ceSopenharmony_ci /* 2^250 - 2^0 */ fe25519_mul(&t0,&t1,&z2_50_0); 277d4afb5ceSopenharmony_ci 278d4afb5ceSopenharmony_ci /* 2^251 - 2^1 */ fe25519_square(&t1,&t0); 279d4afb5ceSopenharmony_ci /* 2^252 - 2^2 */ fe25519_square(&t0,&t1); 280d4afb5ceSopenharmony_ci /* 2^253 - 2^3 */ fe25519_square(&t1,&t0); 281d4afb5ceSopenharmony_ci /* 2^254 - 2^4 */ fe25519_square(&t0,&t1); 282d4afb5ceSopenharmony_ci /* 2^255 - 2^5 */ fe25519_square(&t1,&t0); 283d4afb5ceSopenharmony_ci /* 2^255 - 21 */ fe25519_mul(r,&t1,&z11); 284d4afb5ceSopenharmony_ci} 285d4afb5ceSopenharmony_ci 286d4afb5ceSopenharmony_civoid fe25519_pow2523(fe25519 *r, const fe25519 *x) 287d4afb5ceSopenharmony_ci{ 288d4afb5ceSopenharmony_ci fe25519 z2; 289d4afb5ceSopenharmony_ci fe25519 z9; 290d4afb5ceSopenharmony_ci fe25519 z11; 291d4afb5ceSopenharmony_ci fe25519 z2_5_0; 292d4afb5ceSopenharmony_ci fe25519 z2_10_0; 293d4afb5ceSopenharmony_ci fe25519 z2_20_0; 294d4afb5ceSopenharmony_ci fe25519 z2_50_0; 295d4afb5ceSopenharmony_ci fe25519 z2_100_0; 296d4afb5ceSopenharmony_ci fe25519 t; 297d4afb5ceSopenharmony_ci int i; 298d4afb5ceSopenharmony_ci 299d4afb5ceSopenharmony_ci /* 2 */ fe25519_square(&z2,x); 300d4afb5ceSopenharmony_ci /* 4 */ fe25519_square(&t,&z2); 301d4afb5ceSopenharmony_ci /* 8 */ fe25519_square(&t,&t); 302d4afb5ceSopenharmony_ci /* 9 */ fe25519_mul(&z9,&t,x); 303d4afb5ceSopenharmony_ci /* 11 */ fe25519_mul(&z11,&z9,&z2); 304d4afb5ceSopenharmony_ci /* 22 */ fe25519_square(&t,&z11); 305d4afb5ceSopenharmony_ci /* 2^5 - 2^0 = 31 */ fe25519_mul(&z2_5_0,&t,&z9); 306d4afb5ceSopenharmony_ci 307d4afb5ceSopenharmony_ci /* 2^6 - 2^1 */ fe25519_square(&t,&z2_5_0); 308d4afb5ceSopenharmony_ci /* 2^10 - 2^5 */ for (i = 1;i < 5;i++) { fe25519_square(&t,&t); } 309d4afb5ceSopenharmony_ci /* 2^10 - 2^0 */ fe25519_mul(&z2_10_0,&t,&z2_5_0); 310d4afb5ceSopenharmony_ci 311d4afb5ceSopenharmony_ci /* 2^11 - 2^1 */ fe25519_square(&t,&z2_10_0); 312d4afb5ceSopenharmony_ci /* 2^20 - 2^10 */ for (i = 1;i < 10;i++) { fe25519_square(&t,&t); } 313d4afb5ceSopenharmony_ci /* 2^20 - 2^0 */ fe25519_mul(&z2_20_0,&t,&z2_10_0); 314d4afb5ceSopenharmony_ci 315d4afb5ceSopenharmony_ci /* 2^21 - 2^1 */ fe25519_square(&t,&z2_20_0); 316d4afb5ceSopenharmony_ci /* 2^40 - 2^20 */ for (i = 1;i < 20;i++) { fe25519_square(&t,&t); } 317d4afb5ceSopenharmony_ci /* 2^40 - 2^0 */ fe25519_mul(&t,&t,&z2_20_0); 318d4afb5ceSopenharmony_ci 319d4afb5ceSopenharmony_ci /* 2^41 - 2^1 */ fe25519_square(&t,&t); 320d4afb5ceSopenharmony_ci /* 2^50 - 2^10 */ for (i = 1;i < 10;i++) { fe25519_square(&t,&t); } 321d4afb5ceSopenharmony_ci /* 2^50 - 2^0 */ fe25519_mul(&z2_50_0,&t,&z2_10_0); 322d4afb5ceSopenharmony_ci 323d4afb5ceSopenharmony_ci /* 2^51 - 2^1 */ fe25519_square(&t,&z2_50_0); 324d4afb5ceSopenharmony_ci /* 2^100 - 2^50 */ for (i = 1;i < 50;i++) { fe25519_square(&t,&t); } 325d4afb5ceSopenharmony_ci /* 2^100 - 2^0 */ fe25519_mul(&z2_100_0,&t,&z2_50_0); 326d4afb5ceSopenharmony_ci 327d4afb5ceSopenharmony_ci /* 2^101 - 2^1 */ fe25519_square(&t,&z2_100_0); 328d4afb5ceSopenharmony_ci /* 2^200 - 2^100 */ for (i = 1;i < 100;i++) { fe25519_square(&t,&t); } 329d4afb5ceSopenharmony_ci /* 2^200 - 2^0 */ fe25519_mul(&t,&t,&z2_100_0); 330d4afb5ceSopenharmony_ci 331d4afb5ceSopenharmony_ci /* 2^201 - 2^1 */ fe25519_square(&t,&t); 332d4afb5ceSopenharmony_ci /* 2^250 - 2^50 */ for (i = 1;i < 50;i++) { fe25519_square(&t,&t); } 333d4afb5ceSopenharmony_ci /* 2^250 - 2^0 */ fe25519_mul(&t,&t,&z2_50_0); 334d4afb5ceSopenharmony_ci 335d4afb5ceSopenharmony_ci /* 2^251 - 2^1 */ fe25519_square(&t,&t); 336d4afb5ceSopenharmony_ci /* 2^252 - 2^2 */ fe25519_square(&t,&t); 337d4afb5ceSopenharmony_ci /* 2^252 - 3 */ fe25519_mul(r,&t,x); 338d4afb5ceSopenharmony_ci} 339