Большая картина
В РГАЭС-ОАЭП, для публичного модуля $n$ из $8k-7$ к $8k$ биты, действительный зашифрованный текст $с$ является (среди многих других условий) таким, что $(c^d\bmod n)\,<\,2^{8k-8}$. Атака Мангера предполагает, что злоумышленники могут отправлять запросы на устройство, предназначенное для расшифровки, которое выполняет эту проверку (как и должно) и несколько утечек, если это условие выполнено или нет; что является ошибкой реализации: обычно устройство не должно сообщать, что пошло не так с недопустимым $с$ что это то, что он получил (по крайней мере, когда первый тест, который $c\in[0,n)$ проходит).Утечка может быть связана с конкретным кодом ошибки или по времени.
Учитывая открытый ключ $(п,е)$ и любой $c\in[0,n)$, отправив несколько тщательно $x_i\ne c$ и анализ битов информации ${x_i}^d\bmod n\overset?<2^{k-8}$ утечка из устройства, атаке Мангера удается найти $m=c^d\bmod п$. Если $с$ является действительным зашифрованным текстом, который может быть использован для его расшифровки. Если ключ также можно использовать для подписи, его также можно использовать для подписи.
Подробности
Противник вычисляет и отправляет $x_i=c\,{s_i}^e\bmod n$ для соответствующих значений $s_i$, и, таким образом, узнает от устройства дешифрования $(m\,s_i\bmod n)\overset?<2^{8k-8}$. Выбрав $s_i$ мудро, противник сужает круг $м$.
[Я делаю это вики сообщества и предоставляю другим детализировать шаги и удалить это примечание]. Этот объясняет это.
