Рассмотрим следующий сценарий: у Алисы есть пара секретный и открытый ключи для учебника RSA (обозначается $\текст{ск}$ и $\текст{пк}$ соответственно). У Боба есть подлинная копия $\текст{пк}$. У противника есть подлинная копия $\текст{пк}$.
Теперь Боб хочет отправить $\text{ПИН-код}$ Алисе, которая представляет собой четырехзначное число. Он шифрует следующим образом: сначала он выбирает одноразовый номер $N_0$ (число, выбранное случайным образом из очень большого домена). Затем он отправляет шифрование:
$c = N_0 \mathbin\| \operatorname{RSA}(\text{pk}, [\text{PIN}\mathbin\| N_0]) = N_0 \mathbin\| [\text{ПИН-код} \mathbin\| N_0]^e \bmod N$ куда $(е,N)$ является открытым ключом RSA.
Иначе говоря, он создает новое сообщение $â\text{PIN} \mathbin\| N_0$ (можно предположить, что он умеет встраивать $[\text{ПИН-код}\mathbin\|N_0]$ как число в $\{1, 2, ..., N-1\}$) и шифрует это с помощью учебника RSA. Он также отправляет номер $N_0$ Алисе «в чистоте».
Покажите атаку, которая позволяет противнику изучить $\text{ПИН-код}$ используя только атаку подслушивания.
Я просто не знаю, как начать с этой проблемы. Я понимаю, что учебник rsa создает зашифрованный текст с $\operatorname{Enc}(e, m) = m^e\bmod N$, но я не знаю, как получить $\text{ПИН-код}$ если я не могу вмешиваться в сообщения. Любая помощь будет оценена по достоинству.
Я пытался решить некоторые вещи, и я пришел к другой проблеме. Поскольку у PIN-кода относительно небольшое количество возможностей, могу ли я просто использовать атаку грубой силы? Поскольку противник знает зашифрованный текст, e, N0, и имеет доступ к открытому ключу, я мог бы просто продолжать пробовать разные PIN-коды, верно?
