Như đã nói trong câu trả lời khác: vâng, đây là một ý tưởng hợp lý, RSA cho phép chữ ký an toàn của dữ liệu công khai có entropy thấp, dữ liệu này có thể được xác minh một cách công khai khi khớp với dữ liệu đã nói, nhưng không thể tạo được nếu không có khóa riêng.Các ví dụ về chữ ký hợp lệ và khóa chung sẽ không tiết lộ khóa riêng hoặc các cách tạo chữ ký khác. Một số lược đồ chữ ký tiêu chuẩn thực hiện việc này thường xuyên (nhưng tất nhiên không có gì ngăn cản việc sao chép dữ liệu công cộng và chữ ký của nó).
Bây giờ câu hỏi thêm:
Có cách nào để thực hiện việc này một cách an toàn chỉ với 256 bit dữ liệu đầu ra không?
Không phải với RSA. Chữ ký RSA 256 bit sẽ không an toàn, bởi vì chúng (trong phạm vi vài bit) rộng bằng mô đun công khai và 256 bit quá nhỏ (384 bit đã quá nhỏ vào những năm 1990 và đã có tiến bộ đáng kể kể từ đó, xem cái này).
256-bit đang ở gần bờ vực, và đúng hơn là ở phía sai, của những sơ đồ chữ ký được kiểm tra kỹ lưỡng có thể mang lại tính bảo mật cao. tôi gần đây hỏi về điều này, kiểm kê những gì tôi biết trong số tiêu chuẩn hóa kế hoạch, không có gì dưới 384-bit ở mức bảo mật 128-bit thường được khuyến nghị để bảo mật cao trong những thập kỷ tới.
Mặt khác, nếu một người hài lòng với bảo mật 90 bit như vậy (điều này vẫn sẽ khiến chi phí tấn công dự kiến sử dụng các phương tiện ngày nay lên tới hàng tỷ euro) và không cần thứ gì đó được tiêu chuẩn hóa, thì có thể sử dụng chữ ký Schnorr ngắn (trên danh nghĩa sẽ là 270-bit) và một vài thủ thuật để đánh đổi thời gian tạo và/hoặc xác minh chữ ký dài hơn với một vài bit chữ ký ít hơn. Tôi có thể chi tiết rằng nếu cần thiết.
Một lựa chọn khác sẽ là chữ ký BLS ví dụ. trên đường cong BN254 hoặc BN256, phù hợp với mục tiêu về kích thước và ít nhất sẽ tương đối an toàn theo này bình luận, nhưng điều đó nằm ngoài vùng an toàn của tôi.
