问使用SHA-256的RSA签名安全吗？

EN

一种明显的攻击方法(我们将\text{SHA256}(m)缩短为S(m) )：

• 对于大量的消息( m_i )，计算S(m_i)，并对其进行因子分析。如果消息是光滑的，请将消息和主要因素记录在表中；如果消息不是光滑的，则拒绝它。
• 当您在表中记录了足够多的消息(和素数因素)时，在素因子表上执行消除操作，以找到一组消息和因素，其中所选消息的所有素数(当乘以这些因素)之和为0。

如果我们有这样的乘积(并且对应于其中一个消息的乘数，例如，S(m_0)，是1)，那么我们就有了(其中p_i是我们分配给消息i的乘数)：

因此，请求m_1, m_2, ..., m_n的签名；由此可以推断出m_0的签名。

那么，这是否可行呢？好的，大部分逻辑让人想起二次域筛网( QFS )中所做的事情；当你将QFS应用到512位模数时，它的大小(256位)与你所得到的差不多。QFS可以有效地对512位模数进行分解，我的结论是该算法也是可行的。