Шифрование и проверка подписи RSA выполняется быстрее, если для е используется небольшое значение, но это также может быть небезопасным [704]. Если е(е + 1)/2 линейно зависящих сообщений с различными открытыми ключами шифруются одним и тем же значением е, существует способ вскрыть такую систему. Если сообщений не так много, или если сообщения не связаны, то проблем нет. Если сообщения одинаковы, то достаточно е сообщений. Проще всего дополнять сообщения независимыми случайными числами .
Это также гарантирует, что т mod п Ф те. Так делается в большинстве практических реализаций RSA, например, в РЕМ и PGP (см. разделы 24.10 и 24.12).
Мораль: Дополняйте сообщения перед шифрованием случайными значениями, убедитесь, что размер т примерно равен п.