Imaginea de ansamblu
În RSAES-OAEP, pentru un modul public $n$ de 8.000-7$ la 8k $ biți, un text cifrat valid $c$ este (printre multe alte condiţii) astfel încât $(c^d\bmod n)\,<\,2^{8k-8}$. Atacul lui Manger presupune că adversarii pot trimite interogări către un dispozitiv destinat decriptării, care efectuează acea verificare (cum ar trebui) și oarecum scurge dacă această condiție este îndeplinită sau nu; care este o eroare de implementare: în mod normal, dispozitivul nu ar trebui să spună ce a mers prost cu un invalid $c$ că este ceea ce a primit (cel puțin, la primul test care $c\in[0,n)$ trece).Scurgerea poate fi cauzată de un anumit cod de eroare sau de sincronizare.
Având în vedere cheia publică $(n,e)$ și orice $c\in[0,n)$, prin trimiterea unui număr de atent lucrate $x_i\ne c$ și analiza fragmentelor de informații ${x_i}^d\bmod n\overset?<2^{k-8}$ scurgerea din dispozitiv, atacul lui Manger reușește să găsească $m=c^d\bmod n$. Dacă $c$ este un text cifrat valid, care poate fi folosit pentru a-l descifra. Dacă cheia poate fi utilizată și pentru semnătură, aceasta ar putea fi folosită și pentru semnare.
Detalii
Adversarul calculează și trimite $x_i=c\,{s_i}^e\bmod n$ pentru valori adecvate ale $s_i$, și astfel învață de la dispozitivul de decriptare $(m\,s_i\bmod n)\overset?<2^{8k-8}$. Prin alegerea $s_i$ cu înțelepciune, adversarul se îngustează $m$.
[Fac din acesta un wiki comunitar și las pe seama altora să detalieze pașii și să elimine acea notă]. Acest o explica.
