bức tranh lớn
Trong RSAES-OAEP, cho một mô đun công khai $n$ của $8k-7$ đến $8k$ bit, một bản mã hợp lệ $c$ là (trong số nhiều điều kiện khác) sao cho $(c^d\bmod n)\,<\,2^{8k-8}$. Cuộc tấn công của Manger giả định rằng các đối thủ có thể gửi truy vấn đến một thiết bị dành cho việc giải mã, thiết bị này sẽ thực hiện việc kiểm tra đó (nếu cần) và phần nào bị rò rỉ nếu điều kiện này có được đáp ứng hay không; đó là lỗi triển khai: thông thường thiết bị sẽ không cho biết điều gì đã xảy ra với một lỗi không hợp lệ $c$ rằng nó đã nhận được (ít nhất, khi lần thử nghiệm đầu tiên $c\in[0,n)$ vượt qua).Rò rỉ có thể do một mã lỗi cụ thể hoặc do thời gian.
Đưa ra khóa công khai $(n,e)$ và bất kỳ $c\in[0,n)$, bằng cách gửi một số thủ công cẩn thận $x_i\ne c$ và phân tích các bit thông tin ${x_i}^d\bmod n\overset?<2^{k-8}$ rò rỉ từ thiết bị, cuộc tấn công của Manger quản lý để tìm $m=c^d\bmod n$. Nếu $c$ là một bản mã hợp lệ, có thể được sử dụng để giải mã nó. Nếu khóa cũng có thể được sử dụng để ký, thì khóa đó cũng có thể được sử dụng để ký.
Chi tiết
Đối thủ tính toán và gửi $x_i=c\,{s_i}^e\bmod n$ cho các giá trị thích hợp của $s_i$, và do đó học từ thiết bị giải mã $(m\,s_i\bmod n)\overset?<2^{8k-8}$. Bằng cách chọn $s_i$ một cách khôn ngoan, kẻ thù thu hẹp lại $m$.
[Tôi đang biến đây thành một wiki cộng đồng và để lại cho những người khác trình bày chi tiết các bước và xóa ghi chú đó]. Cái này giải thích nó.
