Dado c1 = texto cifrado de m cifrado con n1 y e Dado c2 = texto cifrado de la misma m cifrada con n2 y la misma e, ¿Es posible averiguar cualquiera de las n o m? Parece que no puedo resolverlo por mí mismo, ¡pero sé que eso no significa que no sea posible!
Si RSA se realiza correctamente (según PKCS # 1 ), entonces no.
Si RSA se realiza de manera incorrecta (es decir, sin ningún tipo de relleno), la reconstrucción del mensaje es posible si encripta el mismo mensaje m con e claves RSA distintas, siempre que todas usen e como exponente público. Esto se hace con el Teorema del residuo chino : desde n1 , n2 ... ne son primos entre sí (de lo contrario, un simple GCD romperá dos claves, en cuyo punto se resuelve el problema), sabiendo que m e módulo todo el ni es suficiente para reconstruir me módulo el producto de todos los ni . Así que vuelve a calcular me módulo N = n 1 n 2 ... n e . Sin embargo, m es más pequeño que cada ni , por lo que me es más pequeño que N . En otras palabras, obtiene me en sí mismo, no me módulo algún número entero. Calcular una e -la raíz en los enteros no modulares es fácil, y esto revela m .
Insisto, esto no es una debilidad de RSA. Más bien, es una ilustración de por qué RSA, la real, no es simplemente una exponenciación modular, sino que incluye un paso de relleno (y ese relleno incluye bytes aleatorios, lo que es también importante por una razón completamente diferente ). El RSA-sin-relleno es a menudo llamado "RSA de libro de texto" porque la mayoría de los libros de texto describen RSA de esa manera.
Lea otras preguntas en las etiquetas rsa