Как сказано в другой ответ: да, это разумная идея, RSA позволяет безопасную подпись общедоступных данных с низкой энтропией, которая может быть открыто проверена на соответствие указанным данным, но не может быть сгенерирована без закрытого ключа.Примеры действительных подписей и открытого ключа не раскрывают закрытый ключ или способы создания других подписей. Несколько стандартизированных схем подписи делают это регулярно (но, конечно, ничто не препятствует копированию общедоступных данных и их подписи).
Теперь вопрос добавляет:
Есть ли способ сделать это безопасно, используя всего 256 бит выходных данных?
Не с РСА. 256-битная подпись RSA была бы небезопасной, потому что они (с точностью до нескольких бит) такие же широкие, как общедоступный модуль, а 256-битная слишком мала (384-битная уже была слишком маленькой в 1990-х годах, и был достигнут значительный прогресс). с тех пор см. это).
256-битная технология близка к грани, а скорее, с другой стороны того, что хорошо проверенные схемы подписи могут дать с высокой степенью безопасности. Я недавно спросил об этом, делая инвентаризацию того, что я знаю среди стандартизированный схем, причем не ниже 384 бит при 128-битном уровне безопасности, обычно рекомендуемом для обеспечения высокой безопасности в следующие десятилетия.
С другой стороны, если кто-то доволен 90-битной безопасностью (которая по-прежнему оценивает прогнозируемую стоимость атаки с использованием сегодняшних средств в миллиарды евро) и не нуждается в чем-то стандартизированном, можно использовать короткая подпись Шнорра (который номинально должен быть 270-битным) и несколько приемов, позволяющих обменять более длительное время генерации и/или проверки подписи на несколько меньших битов подписи. Могу уточнить, если нужно.
Другой вариант был бы подпись BLS например на кривой BN254 или BN256, что соответствует цели по размеру и будет, по крайней мере, сопоставимо безопасным в соответствии с эти Комментарии, но это вне моей зоны комфорта.
