Рейтинг:4

RSA одно и то же сообщение отправляется с двумя разными показателями степени, но степени не являются взаимно простыми.

флаг cn

Привет, я знаю, что здесь были и другие подобные вопросы, а именно здесь.

Но из всех решений этой проблемы, которые я видел, $e_1$ и $e_2$ взаимно просты, и именно так мы можем получить окончательное уравнение $m \equiv c_1^{\,a} \cdot c_2^{\,b} \pmod n $, куда $а$ и $b$ находятся из уравнения $a\cdot e_1 + b\cdot e_2 =\gcd(e_1,e_2)$ из расширенного алгоритма Евклида.

Однако мне интересно, как это сделать, где $\gcd(e_1, e_2) >1$. Я могу добраться до точки, где у меня есть $m^{\gcd(e_1,e_2)} \equiv c_1^{\,a} \cdot c_2^{\,b}$ (как и в других решениях). Но с $\gcd(e_1,e_2) \neq 1$, я нахожусь на первом месте с наличием $м$ под показателем.

Есть ли другой способ сделать это или способ решить эту проблему?

Рейтинг:9
флаг my

Есть ли другой способ сделать это или способ решить эту проблему?

Мы надеемся, что нет; в противном случае вы можете сломать RSA.

Предположим, у вас есть способ, который, учитывая $m^{e_1} \bmod n$ и $m^{e_2} \bmod n$$e_1$ и $e_2$), вы можете восстановить $м$ (даже если $e_1, e_2$ не были относительно простыми).

Затем, учитывая $m^e \bmod n$ и $е$ (который является стандартным RSA), вот что вы можете сделать: вы можете выбрать случайные значения $r_1, r_2$ и вычислить $e_1 = е \cdot r_1$ и $e_2 = е \cdot r_2$. Затем вы вычисляете $(м^е)^{r_1} = м^{е_1} \pmod{n}$ и $(m^e)^{r_2} = m^{e_2} \pmod {n}$. Затем вы можете передать эти значения методу, и, поскольку вы выполнили все требования, ваш метод даст вам $м$, и так решение проблемы RSA.

Опять же, мы, конечно, надеемся, что RSA не так легко взломать...

флаг us
Сначала я был обеспокоен тем, что здесь $e$ может быть неправильным показателем для модуля (см. первое предложение [здесь](https://security.stackexchange.com/a/2339/51963)), что делает это фактически небезопасным. Но после некоторого размышления это в конечном итоге сделало бы два больших показателя недействительными, что сделало бы весь сценарий проблематичным с самого начала. Итак, если предположить, что два встречающихся показателя степени «верны», я считаю, что уменьшенная степень должна быть такой же. Однако это не было сразу очевидно для меня, поэтому я решил, что назову это.
poncho avatar
флаг my
@thesquaregroot: на самом деле, с маленьким $e$ нет проблем с безопасностью (конечно, если это $> 1$), если вы правильно сделали заполнение. Если вы этого не сделаете, что ж, мой совет будет ... делать отступы правильно ...
R.. GitHub STOP HELPING ICE avatar
флаг cn
С $e=2$ у вас не RSA, а криптосистема Рабина, которая, как ни странно, работает, хотя и немного по-другому.
флаг us
@poncho Меня беспокоили не маленькие значения $e$, а значения $e$, которые **не** взаимно просты с p-1 для всех простых чисел p, которые делят модуль. Сообщение, на которое я ссылаюсь, конкретно о том, как небольшие значения $e$ не являются проблематичными, если вы правильно выполняете заполнение. Изначально я просто хотел убедиться, что ваша логика верна независимо от значения $e$ для заданного модуля. Я пришел к выводу, что если $e$ будет небезопасным, то же самое будет с $e_1$ и $e_2$, так что проблема будет более тривиальной на этом основании.
poncho avatar
флаг my
@thesquaregroot: нет проблем с безопасностью, если значения $e$ не взаимно просты с $p-1$; скорее, вы не можете их однозначно расшифровать. Что касается безопасности, то вы можете сделать еще более надежное заявление о безопасности для такого $e$, то есть если у вас есть черный ящик, который, учитывая $m^e \bmod n$ (и учитывая, что такой $m$ существует ) для такого $e > 0$ находит возможное значение $m$, тогда можно эффективно разложить $n$ (!) — это неизвестно для стандартного RSA.
флаг us
@poncho Хорошо, интересно. Я не был уверен, к чему это привело, так что спасибо, что прояснили это!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.