用小消息攻擊教科書 RSA

我們在課堂上了解到，如果 Alice 想發送一條小消息 $ m $ , 這樣 $ m < N^{\frac{1}{e}} $ ，所以我們可以使用 $ e $ -第一個平方 $ m^e $ .

但是如果 Alice 知道這個缺陷並決定發送 $ 2^{100}\cdot m $ 作為她的資訊。攻擊者是否仍然可以破壞系統（我假設攻擊者知道 Alice 發送了 $ 2^{100}\cdot m $ )?

攻擊者看到 $ E(2^{100}\cdot m) = (2^{100} \cdot m)^e ,(N) = 2^{100e} \cdot m^e ,(N) $ . 攻擊者可以計算 $ A = 2^{100e} ,(N) $ 從公共參數，所以他也可以計算 $ A^{-1} ,(N) $ （如果不是他已經有一個因素 $ N $ ）。於是他就知道了 $ m^e ,(N) = E(2^{100}\cdot m) \cdot A^{-1} ,(N) $ 你可以應用之前的攻擊。這濫用了 RSA 的同胚特性。

引用自：https://crypto.stackexchange.com/questions/31193