給定一半原像的原像攻擊

512 位 X 已使用 SHA256(X) = Y 進行散列

1. 給攻擊者 Y 和 X 的一半（前 256 位），揭示整個 X 有多難
2. 能否破解 SHA256 或任何現實世界的功能，讓這個問題更快得到解決

這個問題在密碼學中是否已知？並以什麼名字命名？嘗試 google 進行級聯原像攻擊，但一無所獲。

知道 X 的前 256 位沒什麼用。直覺地說，您可以理解這一點，因為前 256 的大多數值將具有匹配的第二個 256，這將導致 Y。假設偽隨機分佈將 n 個球扔到 n 個箱中只會留下 n/e 個空。通過知道有一個帶有所述前綴的答案，蠻力會稍微快一點，不是通過在蠻力中做任何聰明的事情，而是通過消除沒有價值的可能性。如果我們有一個隨機預言機雜湊，最壞情況下的暴力破解前綴是 2^256，沒有前綴是 2^512，但預期攻擊時間的差異相當小。在任何情況下，它都是完全不可行的。沒有已知的對 sha255 的相關攻擊，使其甚至可以遠端啟動。

引用自：https://crypto.stackexchange.com/questions/44687