On cherche en ligne quelques révisions sur le fonctionnement de RSA…
…et on s'assure de savoir déchiffrer un message si on donnait la clef privée d,
puisqu'on va chercher cette clef en exploitant le glitch d'implémentation
On envoie un même message (msg=2) une fois sans sauter de multiplication
(skip = 1024, au-delà de la taille de d)
et une fois en sautant une multiplication (skip = 1022):
le résultat diffère si et seulement si le 1022e bit de d est un 1
Ce n'est pas pour rien que la limite de messages est de 2 * BITS + 1:
cela permet d'envoyer deux fois le même message ("avec et sans skip") et de comparer
On itère automatiquement pour reconstituer d bit par bit
On obtient la valeur de d
Et on peut décrypter (nota: le bit 0 est le bit de poid fort de d)
Principe:
