Hallo, ich habe gerade mal ein wenig Literatur angeschaut, und bemerkt daß Deine Attacke wirklich auch unter "Common Modulus" läuft (und ich habe selbst vor über einen Jahr ein solches Demoprogramm für meine MPArith-RSA-Unit geschrieben).

Ich kann Deine Rechnung mit meinen Routinen nachvollziehen, bei mir ist übrigens auch m^e2 ungleich c2. Da die ganze Rechnung eigentlich trivial ist:

Voraussetzung: c1 = m^e1 mod n, c2 = m^e2 mod n.

Berechne mit erweitertem GCD: u*e1 + v*e2 = 1

Dann gilt: c1^u*c2^v = m^(e1*u)*m^(e2*v) = m^(u*e1 + v*e2) = m^1 = m

Da e1,e2 teilerfremd sind, mit u=6, v=-1 sollte m eigentlich berechnet werden können, WENN die Voraussetzungen stimmen.

Das scheint mir der einzige Anhaltspunkt für einen Fehler zu sein! Hast Du c1 und c2 selbst aus m berechnet? Wenn ja, poste es doch mal. Mein berechnetes m ist

m = 26002876987877775190361557548489331852259354915301 9384765768600715250637538 24282061019671425762467214234562338819547212408526 652061848635849964322015502199 81557879879742320530299944627310252826350236091418 607481941348004944530848076278 28351442483638107586760292651456892855464402992980 040644004040959655693485

Aber wie gesagt, m^e1 <> c1 und m^e2 <> c2.

Gruß Gammatester