Dato c1 = testo cifrato di m criptato con n1 ed e Dato c2 = testo cifrato della stessa m criptato con n2 e la stessa e, È possibile capire una delle due o m? Non riesco a risolverlo da solo, ma so che non significa che non sia possibile!
Dato c1 = testo cifrato di m criptato con n1 ed e Dato c2 = testo cifrato della stessa m criptato con n2 e la stessa e, È possibile capire una delle due o m? Non riesco a risolverlo da solo, ma so che non significa che non sia possibile!
Se RSA è eseguito correttamente (come per PKCS # 1 ), quindi no.
Se RSA viene eseguito molto impropriamente (cioè senza alcun tipo di padding), la ricostruzione del messaggio è possibile se si cripta lo stesso messaggio m con e chiavi RSA distinte, a condizione che tutti usino e come esponente pubblico. Questo è fatto con il Teorema dei rimanenti cinesi : poiché n 1 , n 2 ... n e sono tutti relativamente primi tra loro (altrimenti un semplice GCD interromperà due chiavi, a quel punto il problema è risolto), sapendo m e modulo tutto il n i è sufficiente per ricostruire m e modulo il prodotto di tutti i n i . Quindi tu ricalcoli m e modulo N = n 1 n 2 ... n e . Tuttavia, m è più piccolo di ogni n i , quindi m e è più piccolo di N . In altre parole, si ottiene m e stesso, non m e modulo alcun intero. Calcolare una radice e -th negli interi non modulari è facile, e questo rivela m .
Insisto, questo è non una debolezza di RSA. Piuttosto, è un'illustrazione del motivo per cui RSA, quello reale, non è semplicemente un'esponenziazione modulare, ma include un passo di riempimento (e quella spaziatura include byte casuali, che è anche importante per un motivo completamente diverso ). L'RSA-senza padding è spesso chiamato "RSA da manuale" perché la maggior parte dei libri di testo descrivono RSA in questo modo.
Leggi altre domande sui tag rsa