Există o mare slăbiciune în produsele pe 1024 de biți create conform
la metoda descrisă dacă reutilizați F.
Dacă N1 și N2 sunt ambele create cu același F, F poate fi calculat
imediat:
G = gcd(N1-1,N2-1) = 2Fk.
Factorul G pentru a obține F, care este ușor de observat deoarece are lungimea de 461 de biți.
În plus, securitatea poate fi slăbită semnificativ dacă
dificultatea factorizării N-1 este semnificativ mai ușoară decât factorizarea N.
N-1 este un compozit care poate fi semnificativ mai ușor de factorizat decât
un produs de 1024 de biți din două numere prime de 512 de biți.
Pe baza definițiilor și limitărilor lui F, p și q în întrebarea:
N = (2Fp+1)(2Fq+1)
Extindere
N = 4*F^2pq+2Fp+2Fq+1
Rearanjare
N = 2F(2Fpq+p+q)+1
N-1 = 2F(2Fpq+p+q)
După factorizarea N-1 aveți F, un aprox. Prim de 461 de biți.
Fie u (N-1)/2F = (2Fpq+p+q)
u = (2Fpq+p+q)
Apoi calculați s = mod(u,2F) = p+q,
q = s-p
Înlocuiți s-p cu q și s cu p+q
u = (2Fp(s-p)+s)
u = 2Fps-2Fp^2+s
Rezultă un pătratic în p
-2Fp^2+2Fsp+s-u = 0
p = (Fs - sqrt(F(Fs^2 + 2s - 2u)))/(2F)
q = s-p
Cele două prime de aproximativ 512 biți pot fi acum calculate.
N = (2Fp+1)(2Fq+1)
Rețineți că factorizarea N-1 poate dura încă o perioadă semnificativă de timp
necesită GNFS sau CADO-NFS, dar totuși semnificativ mai ușor de factor
decât un produs de 1024 de biți din două numere prime de 512 de biți.
