RSA - Clé publique partielle

Bonjour à tous !

Dans le contexte d’un CTF (je préfère préciser, ça m’embêterait que vous me donniez la réponse toute faite :p), je dois retrouver l’exposant privé $d$ à partir de $N$ et d’une partie de $e$. Je sais que ledit exposant est codé sur 32 bits, $N$ sur 4096 bits et $e$ sur un peu plus de 4050 bits. Je connais un peu plus de 50% de $e$ (les bits de poids faible). J’ai donc voulu faire le raisonnement suivant :

Soit $m$ le modulo avec lequel on va travailler, avec $32 \leqslant m\leqslant 4050$. Pour un nombre $x$, on note $x_r$ la version "réduite" de $x$, c’est-à-dire sa représentation dans $\mathbf{Z}_{/2^m\mathbf{Z}}$, ou de manière équivalente, les $m$ bits de poids faible de $x$. On a par définition :

$\exists k\in\mathbf{Z},e\,d = 1 + k\,(N - p - q + 1)\implies\exists k\in\mathbf{Z},e_r\,d = 1 + k_r\,\left(N_r - p_r - q_r + 1\right)\iff e_r\,d\equiv1[\varphi\left(N_r\right)]$

Comme je peux trouver $\varphi\left(N_r\right)$ de manière assez aisée, j’ai l’impression que tout va bien si $e_r\land\varphi\left(N_r\right)=1$, alors je peux trouver $d$ facilement. Problèmes :

1. C’est une attaque dont je n’ai pas entendu parler jusqu’à présent (pour deux lignes de maths ça serait étonnant, même si cela ne marche que pour $d$ très faible).
2. Je n’obtiens pas les mêmes résultats selon le $m$ que je choisis (j’obtiens même des $d$ supérieurs à $2^{33}$).

Ma question est donc : où est mon erreur dans le raisonnement ?

Merci d’avance !

Hm, il semblerait en effet que je me sois embrouillé dans mes propres notations, il n’y a a priori pas de raison que $\varphi\left(N_r\right)=N_r - p - q + 1$.

En ce qui concerne le "aisément", je faisais référence au fait que selon le choix de $m$, $N_r$ peut être assez faible, d’où le calcul relativement rapide de $\varphi\left(N_r\right)$ (ce n’est pas valable pour $m=4050$ par exemple).

Je retourne donc à mes calculs, désolé !