breaking RSA with linear padding using Hastads attack with e>=11

Метод Копперсмита, как обычно указывается в $\эпсилон$ фактор, находит корень многочлена $ф(х)$ степени $д$ по модулю $n$ размера $x \le n^{\frac{1}{d} - \epsilon}$, $0 < \epsilon \le 1/7$.

Атака HÃ¥stad с $е = 11$ в основном представляет собой применение метода Копперсмита с $ф(х)$ степени $11$ по модулю $n_0\cdot n_1 \cdot \dots n_{e-1}$. Если $\эпсилон = 1/8$, то приведенная выше оценка бесполезна, так как $\left( n_0\cdot n_1 \cdot \dots n_{e-1} \right)^{1/11 - 1/8} < 1$. Вот почему он работал без изменений до $е = 7$: $\влево(2^{2048\cdot 7}\вправо)^{1/7 - 1/8} \приблизительно 2^{256}$.

Тем не менее, уменьшение $\эпсилон$ делает работа: настройка $\эпсилон = 1/13$ мы уже найдем все корни ниже $\влево(2^{2048\cdot 11}\вправо)^{1/11 - 1/13} \приблизительно 2^{315}$, что достаточно для восстановления этого флага.