0

A 对她的电子邮件使用 RSA 加密。B 找到一封给 A 的加密电子邮件:c = m^e mod n 他想知道纯文本。B 知道,当 A 回复她的电子邮件时,她总是在回复中包含她正在回复的消息的文本

假设 A 只接收长度最多为 log n 的位串的消息,可以映射到 Zn。

还假设 B 不能简单地将 c 作为他自己的电子邮件发送给 A 并期望得到回复,但 A 将回复除 c 之外的电子邮件消息。

B 如何仅使用来自 Zn 的 c、e、n 和随机值来学习 m?

4

1 回答 1

1

来自维基百科

RSA具有两个密文的乘积等于各自明文乘积的加密的性质。即 m1^e m2^e≡(m1m2)^e (mod n) 由于这种乘法属性,选择密文攻击是可能的。例如,想要知道密文 c = m^e (mod n) 的解密的攻击者可能会要求私钥持有者解密看似不可疑的密文 c' = cr^e (mod n) 以获得某个值r 由攻击者选择。由于乘法性质 c' 是 mr (mod n) 的加密。因此,如果攻击者攻击成功,他将学习 mr (mod n),通过将 mr 与 r 模 n 的模逆相乘,他可以从中推导出消息 m。

这实际上非常简洁,感谢您提出导致我学习这一点的问题。
至于你的3020 vs 600的问题,它是乘法的;数学中很少使用串联,因为毕竟我们应该始终独立于基数工作。

于 2011-04-01T19:28:48.433 回答