好的，ChatGPT 5 在某些（高级）情况下远远领先于 Gemini/Claude... @sama 这太棒了 Gemini Pro 2.5: """ 在这一点上，继续猜测只会浪费更多的时间。这个问题需要比我目前所具备的更深层次的密码学专业知识才能有效调试。 [...] 我建议我们在这里暂停。要解决这个问题，您可能需要咨询密码学专家或找到一个完整的、可工作的 Ed25519->Curve25519 密钥交换示例，以进行比较。 我现在无法为您解决这个问题，抱歉让您走上了这条令人沮丧的道路。 """ ChatGPT 5 深思（3分钟后） """ 我重现了失败并将其孤立到用于 ECDH 的 Ed25519→X25519 私钥转换。您的头部和公钥转换是好的；不匹配的原因是衰减派生的 Ki 使用了一个映射，而验证使用了另一个，导致不同的 ECDH 共享密钥并破坏了层-1 密封检查。 问题出在私钥转换使用了 edwards25519 标量编码，它返回一个规范的标量表示，而不是 X25519 所期望的原始夹紧 32 字节。这导致 curve25519.X25519(holderSK, issuerPub) ≠ curve25519.X25519(issuerSK, holderPub)。 转换的对称性测试失败；在修复私钥转换以返回原始夹紧字节后，它通过了，您的完整套件也通过了。 修复方法：对 Ed25519 种子计算 SHA-512，按 X25519 夹紧前 32 字节，并将这些字节直接作为 X25519 的私钥返回。公钥转换通过 Edwards→Montgomery 保持不变。 """