Мы знаем, что короткое сообщение, зашифрованное с помощью RSA, может быть легко взломано.
Короткое сообщение, зашифрованное с помощью учебника RSA, может быть легко взломано. Проблема в нет что сообщение короткое. Гораздо более длинное сообщение, выбранное в небольшом наборе (например, личность человека в общедоступном списке классов), также может быть взломано с помощью той же техники. Проблема в низкоэнтропийное сообщение в сочетании с использованием классического шифрования RSA (без случайного заполнения).
Боб шифрует (..) сообщения своим закрытым ключом.
То, что «шифрует», является ошибочной терминологией для применения преобразования $m\mapsto f(m)=m^d\bmod n$ куда $(н,д)$ является закрытым ключом RSA Боба. Это не шифровать, так как этот термин обозначает преобразование сообщения, чтобы сделать его непонятным для противников, и здесь любой может отменить преобразование, используя общедоступные $(п,е)$. Термин «шифрует» следует заменить на «преобразует» или «подписывает». Результат $ф(м)$ этой операции является учебник RSA-подпись сообщения $м$ закрытым ключом Боба.
Мог ли злоумышленник каким-то образом подделать новое одно- или двухсимвольное сообщение, чтобы казалось, будто оно пришло от Боба?
Да. Основным используемым инструментом является мультипликативное свойство функции $ф$: для всех $м_1,м_2$ он держит $f(m_1\cdot m_2\bmod n)\ =\ f(m_1)\cdot f(m_2)\bmod n$. Таким образом, злоумышленник, зная хрестоматийную RSA-подпись сообщений $m_1$ и $m_2$ можно найти учебник RSA-подпись сообщения $m_1\cdot m_2\bmod n$, или же ${m_1}^i\cdot{m_2}^j\bmod n$ для любой пары целых чисел $я,j$.
Для сообщений, которые должны иметь смысл, возможность должна иметь $m_1\cdot m_2=m_3\cdot m_4$ который позволяет вычислить учебник RSA-подпись $m_4$ от этого $m_1$, $m_2$ и $m_3$, как $f(m_4)\ =\ f(m_1)\cdot f(m_2)\cdot f(m_3)^{-1}\bmod n$.
