Chúng tôi biết rằng một tin nhắn ngắn được mã hóa bằng RSA có thể dễ dàng bị cưỡng bức.
Một tin nhắn ngắn được mã hóa bằng RSA sách giáo khoa có thể dễ dàng bị cưỡng bức. Vấn đề là không phải rằng tin nhắn là ngắn. Một thông báo dài hơn nhiều được chọn trong một tập hợp nhỏ (chẳng hạn như danh tính của một người trong danh sách lớp công khai) cũng có thể bị cưỡng bức bằng kỹ thuật tương tự. Vấn đề là tin nhắn entropy thấp kết hợp với việc sử dụng mã hóa RSA sách giáo khoa (không có phần đệm ngẫu nhiên).
Bob mã hóa (..) tin nhắn bằng khóa riêng của mình.
Thuật ngữ "mã hóa" đó là sai khi áp dụng phép biến đổi $m\mapsto f(m)=m^d\bmod n$ ở đâu $(n,d)$ là khóa riêng RSA của Bob. Cái đó không phải là mã hóa, vì thuật ngữ đó chỉ định việc chuyển đổi một thông báo để làm cho đối thủ không thể hiểu được thông báo đó và tại đây, bất kỳ ai cũng có thể hoàn tác việc chuyển đổi bằng cách sử dụng công khai $(n,e)$. Thuật ngữ "mã hóa" phải được thay đổi thành "biến đổi" hoặc "dấu hiệu". Kết quả $f(m)$ của hoạt động đó là chữ ký RSA trong sách giáo khoa của tin nhắn $m$ bằng khóa riêng của Bob.
Kẻ tấn công bằng cách nào đó có thể giả mạo một hoặc hai ký tự tin nhắn mới để có vẻ như nó đến từ Bob?
Đúng. Công cụ cơ bản được sử dụng là tính chất nhân của hàm $f$: cho tất cả $m_1,m_2$ nó giữ $f(m_1\cdot m_2\bmod n)\ =\ f(m_1)\cdot f(m_2)\bmod n$. Do đó, một kẻ thù biết chữ ký RSA trong sách giáo khoa của các tin nhắn $m_1$ và $m_2$ có thể tìm thấy chữ ký RSA trong sách giáo khoa của tin nhắn $m_1\cdot m_2\bmod n$, hoặc ${m_1}^i\cdot{m_2}^j\bmod n$ cho bất kỳ cặp số nguyên nào $i,j$.
Đối với các thông điệp bị ràng buộc để có một ý nghĩa, một khả năng là có $m_1\cdot m_2=m_3\cdot m_4$ cho phép tính toán chữ ký RSA trong sách giáo khoa của $m_4$ từ đó $m_1$, $m_2$ và $m_3$, như $f(m_4)\ =\ f(m_1)\cdot f(m_2)\cdot f(m_3)^{-1}\bmod n$.
