| Emmanuel Thomé |  |
 |
Date de l'exposé : 14 décembre 2007
La racine e-ème plus facile que la factorisation.
Nous étudions le problème du calcul de racines e-èmes modulaires. Sous l'hypothèse de la disponibilité d'un oracle fournissant des racines e-èmes de la forme particulière $x_i + c$, nous montrons qu'il est plus facile de calculer des racines $e$-èmes que de factoriser le module $n$. Ici $c$ est fixé, et l'attaquant choisit les petits entiers $x_i$.L'attaque se décline en plusieurs variantes, selon les hypothèses exactes sur l'oracle, et selon les buts poursuivis, allant de la falsification sélective à la falsificaction universelle. La complexité obtenue est $L_n(\frac{1}{3}, \sqrt[3]{\frac{32}{9}})$ dans les cas les plus significatifs, ce qui correspond à la complexité du {\sl special} number field sieve ({\sc snfs}).
Ce travail étend les résultats existants sur la malléabilité du schéma de signature RSA, plus particulièrement au sujet des falsificactions affines. Ce problème particulier est polynomial lorsque le {\em padding} $c$ n'excède pas $n^{2/3}$, mais sa résolution dans le cas général était uniquement accessible via la factorisation.
