從兩個不同的公鑰推導出一個密鑰

證明如果兩個不同的 RSA 公鑰 $ p_k $ s 被攻擊者知道相同的密鑰 $ s_k $ ， 然後 $ s_k $ 可以打破

我推斷如果 2 個公鑰指數是 $ e_1,e_2 $ 那麼它們具有相同的餘數模 $ \phi $ ，但這仍然不能幫助我確定 $ d $ .

這是一個家庭作業問題，所以我會給你一個提示，而不是答案。

預期採取的方法不是恢復 $ d $ 直接地; 相反，它是考慮模數 $ n $ （一旦你有了它，恢復 $ d $ 簡單）。

所以，如果你有價值 $ n $ 和價值 $ k \phi(n) $ 對於某個未知整數 $ k $ ，你怎麼能考慮因素？

如果您假設，一種簡單的方法會起作用 $ k $ 不是太大。有一些更好的方法，你不必做出這個假設，但你為什麼不從簡化假設開始……

（順便說一句：你實際上有價值 $ k \lambda(n) $ 為了 $ \lambda(n) = \text{lcm}(p-1, q-1) $ ，但是對於這個問題並不重要……）

你應該看看如何 $ p_{k_1} $ 和 $ p_{k_2} $ 來源於 $ s_k $ （或更具體地說，如何 $ e_1 $ , $ e_2 $ 來源於 $ d $ ）。一旦你理解了它，看看是否有一種方法可以推導出這個操作的模數，並從中計算出 $ s_k $ .

引用自：https://crypto.stackexchange.com/questions/99989