RSA可塑性概念的证明

Question

我想看看RSA的延展性有多容易。

我用公钥生成两个密文：

cat file1 |  openssl rsautl -raw -encrypt -pubin -inkey public.pem >messageA.encrypted
cat file2 |  openssl rsautl -raw -encrypt -pubin -inkey public.pem >messageB.encrypted

在file1和file2中填充了'1's和'2's，我认为-raw意味着没有填充方案。文件是256个字节，密钥区是一个普通的openssl，生成2048位的RSA密钥。

然后，我按字节读取文件，并使用python脚本对它们进行NAND：

with open("messageA.encrypted", "rb") as f1, open("messageB.encrypted", 'rb') as f2, open("messageC.encrypted", "wb") as fb:
for i in range(256):
    b1 = f1.read(1)
    b2 = f2.read(1)
    out = (~ (b1[0] & b2[0]) & 0xff) # simple '~' is not enough
    outByte = out.to_bytes(1, 'big', signed=False)
    fb.write(outByte)

之后，我尝试解密文件，但是它失败了，如下所示：

openssl rsautl -raw -decrypt -in messageC.encrypted -inkey private.pem 
RSA operation error
139710772687296:error:04065084:rsa routines:rsa_ossl_private_decrypt:data too large for modulus:../crypto/rsa/rsa_ossl.c:411:

其中文件"messageC.encrypted"的大小为256个字节

我是否错误地期望上述至少在解密过程中不会失败？

/update，我本以为'O' (大写字母'oh')会在解密的"messageC.encrypted"中。

Answer 1

对于RSA的可塑性，NAND不是合适的组合器，它可以通过使产生的东西大于公共模N而引起问题。

RSA可延展性适用于教科书中的RSA，其中加密是x\to \text{Enc}_{(N,e)}(x)=x^e\bmod N，可延展性是\cdot表示整数乘法的属性\text{Enc}_{(N,e)}(x_1\cdot x_2\bmod N)=\text{Enc}_{(N,e)}(x_1)\cdot\text{Enc}_{(N,e)}(x_2)\bmod N (与NAND无关)。

使用由包含1和2的字节的文件组成的明文来验证这一点，需要从公钥中提取N，还需要从大整数算术模块N中提取D6。