RSA p+1或p-1光滑

最新推荐文章于 2024-08-29 22:55:48 发布
最新推荐文章于 2024-08-29 22:55:48 发布
阅读量3.2k 收藏 18
点赞数 6
分类专栏: 密码 文章标签: 密码学 python ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62506844/article/details/125774485
版权
本文深入探讨RSA加密的安全性,重点解析了Pollard's p-1方法和Williams's p+1算法在大数分解中的应用。当p或q的相邻数(p-1或p+1)是光滑数时,RSA可能变得容易受到攻击。通过实例展示了如何利用光滑数理论来寻找RSA密钥的因数,从而揭示了对RSA密钥选择的谨慎性。同时,指出在某些情况下,自定义算法可能优于现成的库如primefac。
摘要由CSDN通过智能技术生成

在rsa中,如果p或q生成不当导致p+1或者p-1光滑,则可能会易被攻击
参考:ctf wiki
         【大数分解】Pollard‘s p-1 method
光滑数 (Smooth number):指可以分解为小素数乘积的正整数

RSA p-1光滑

p-1光滑(Pollard‘s p-1 method):

根据费马小定理(Fermat Theorem),若p是素数,且p不整除a,则有:
a p − 1 ≡ 1   ( m o d   p ) a^{p-1}\equiv 1~(mod~p) ap11 (mod p)
B-Smooth数:如果一个整数的所有素因子都不大于B,我们称这个数为B-Smooth数

例: 12 = 2 ∗ 2 ∗ 3 , 所 以 12 是 3 − S m o o t h 数 12=2*2*3,所以12是3-Smooth数 12=223123Smooth

原理:
在这里插入图片描述
伪代码:
在这里插入图片描述
于是有以下算法:

from gmpy2 import *
a = 2
n = 2
while True:
    a = powmod(a, n, N)
    res = gcd(a-1, N)
    if res != 1 and res != N:
        q = N // res
        print("p=",res)
        print("q=",q)
        break
    n += 1

RSA p+1光滑

p+1光滑(Williams’s p + 1 algorithm):
。。。原理如果有好奇的可以取wiki看一下,我们着重来实现算法:
在这里插入图片描述

def mlucas(v, a, n):
    """ Helper function for williams_pp1().  Multiplies along a Lucas sequence modulo n. """
    v1, v2 = v, (v**2 - 2) % n
    for bit in bin(a)[3:]: v1, v2 = ((v1**2 - 2) % n, (v1*v2 - v) % n) if bit == "0" else ((v1*v2 - v) % n, (v2**2 - 2) % n)
    return v1

for v in count(1):
    for p in primegen():
        e = ilog(isqrt(n), p)
        if e == 0: break
        for _ in xrange(e): v = mlucas(v, p, n)
        g = gcd(v-2, n)
        if 1 < g < n: return g # g|n
        if g == n: break

例题:

from random import choice
from Crypto.Util.number import isPrime, sieve_base as primes
from flag import flag


def myPrime(bits):
    while True:
        n = 2
        while n.bit_length() < bits:
            n *= choice(primes)
        if isPrime(n + 1):
            return n + 1

e = 0x10001
m = int.from_bytes(flag.encode(), 'big')
p = myPrime(2048)
q = getPrime(2048)
n = p * q
c = pow(m, e, n)

# n = 1224542620373200232525165378018470774334801515191193204875465445916504222883935188890019876845076388385357911730689547124547346252951158814249284724565588433721828377715469374541007756509231399263095022024229078845538543233785364809917406108015271780070196140628158427541531563472532516237632553353655535922926443707617182025475004547531104052989085765070550150028833424395972178427807901747932614235844448614858629761183210600428438018388051958214596857405813088470933109693499438012040822262549119751099008671892966082341548512112435591881692782766559736840448702039918465573051130405935280702181505538733234675792472428666968900055706926735800561218167237812066851519973807203332801575980055838563085817664973968944323258406789203078387708964307931318918136664885818917720073433998810127482159223895026085726623747340692196977140382318293090736558135980651252533606603312148824142669800602887109353065489282386215179238458743567166284295855288783740314247952124965482197632971993708775190564519250754150756867653033527903848903210074426177258586450311109023467944412194124015505951966140443860862968311560843608415723549525497729679097936310538451467530605937684408079363677707513923579164067808729408365886209340192468399685190639
# c = 145742860621666495489510776707734134231023214235535481878205099324276369445463746101469487674333600296204530932386373415987357363515200117271393133347844479863240936801112306080456942844796779477817786176831015954410967693647534326733641573842953783193563678040093734579772976410574013857063137696465850300484753282472377882118892522844694078667622111244886303620349388556315704648609353412177123230438077637042880490566244740468503369707900343076369151796123461132932226563486870411965536062339169788331659119981901553536009275158600580698576110294775989992794065611215170351808698605911258789407992833170968332058255364527244293283228694886707241979238145252395651417561576433516407782575454294499521347378058366557950770592472271985004818847838711060048422015207674862177145761946560579360220239667890707135827136815780729363013864130107808776517514214310689477005999830284272130148939734935547341627208913181919190392205389452185597444280635342938046191904062547803917870268485346888653569349729643793041018550170090471310374856687407102762116819004790791936814214507908374380597027347007448114684844276041116955473180015221164545212550832233007714133699817366745648092776901013502840540012912660742166994968977400188176557657864

代码审计可知p-1光滑
exp:

from Crypto.Util.number import *
N = 1224542620373200232525165378018470774334801515191193204875465445916504222883935188890019876845076388385357911730689547124547346252951158814249284724565588433721828377715469374541007756509231399263095022024229078845538543233785364809917406108015271780070196140628158427541531563472532516237632553353655535922926443707617182025475004547531104052989085765070550150028833424395972178427807901747932614235844448614858629761183210600428438018388051958214596857405813088470933109693499438012040822262549119751099008671892966082341548512112435591881692782766559736840448702039918465573051130405935280702181505538733234675792472428666968900055706926735800561218167237812066851519973807203332801575980055838563085817664973968944323258406789203078387708964307931318918136664885818917720073433998810127482159223895026085726623747340692196977140382318293090736558135980651252533606603312148824142669800602887109353065489282386215179238458743567166284295855288783740314247952124965482197632971993708775190564519250754150756867653033527903848903210074426177258586450311109023467944412194124015505951966140443860862968311560843608415723549525497729679097936310538451467530605937684408079363677707513923579164067808729408365886209340192468399685190639
c = 145742860621666495489510776707734134231023214235535481878205099324276369445463746101469487674333600296204530932386373415987357363515200117271393133347844479863240936801112306080456942844796779477817786176831015954410967693647534326733641573842953783193563678040093734579772976410574013857063137696465850300484753282472377882118892522844694078667622111244886303620349388556315704648609353412177123230438077637042880490566244740468503369707900343076369151796123461132932226563486870411965536062339169788331659119981901553536009275158600580698576110294775989992794065611215170351808698605911258789407992833170968332058255364527244293283228694886707241979238145252395651417561576433516407782575454294499521347378058366557950770592472271985004818847838711060048422015207674862177145761946560579360220239667890707135827136815780729363013864130107808776517514214310689477005999830284272130148939734935547341627208913181919190392205389452185597444280635342938046191904062547803917870268485346888653569349729643793041018550170090471310374856687407102762116819004790791936814214507908374380597027347007448114684844276041116955473180015221164545212550832233007714133699817366745648092776901013502840540012912660742166994968977400188176557657864
e=0x10001
import gmpy2
a = 2
n = 2
while True:
    a = pow(a, n, N)
    res = gmpy2.gcd(a-1, N)
    if res != 1 and res != N:
        q = N // res
        print("n=",n)
        print("p=",res)
        print("q=",q)
        break
    n += 1

d=gmpy2.invert(e,(res-1)*(q-1))
m=pow(c,d,N)
print(long_to_bytes(m))

可能会有人推荐primefac库,但经过少量实践初步验证,如果已知p-1或者p+1是光滑数,还是套用上面给的算法更好。有的时候p-1可能因子太多而形成指数爆炸,primefac针对这一点处理的不够好。
为了方便,可以讲primefac库内的源码修改为我们的代码。

Paintrain
关注
  • 6
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RSA+ECB+OAEPWithSHA-256AndMGF1Padding
01-07
选择RsA算法进行非对称加密,密钥长度为2048位及以上位数,使用oAEP填充方式。
4.2 Pollard p-1算法
你的指尖有改变世界的力量
05-01 2668
介绍了pollard p-1算法的原理并给出了python代码
RSA攻击:Smooth攻击
qq_73643549的博客
10-09 556
本文记录Pollard's p-1 Algorithm以及Williams's p+1 Algorithm的一些理解、灵感、原理
RSA中利用光滑数进行模数分解
永远相信美好的事情即将发生
04-15 2369
概述 光滑数 (Smooth number):指可以分解为小素数乘积的正整数 当p是N 的因数,并且p−1是光滑数,可以考虑使用Pollard's p-1算法来分解N 当p是N的因数,并且p+1是光滑数,可以考虑使用Williams's p+1算法来分解N Pollard的p-1算法 算法核心 为了分解合数n,设数n的一个因子是p,若p − 1的每个因子q满足q≤Bq\le Bq≤B(B是自己选的一个数,称为界),此时必有 (p−1)∣B!(p-1) | B!(p−1)∣B! 证:设p−1=q1q2q3…
CTF-CYRPTO-RSA-Smooth
zippo1234的博客
11-19 2316
CTF-CYRPTO-RSA-SmoothRSA-Smooth题目分析开始1.题目2.分析(1)光滑数(2)Pollard’s p − 1 算法(3)代码实现3.解题脚本4.get flag结语参考 每天一题,只能多不能少 RSA-Smooth 题目分析 光滑数(Smooth Number) Pollard’s p − 1 算法 费马小定理 开始 1.题目 from random import choice from Crypto.Util.number import isPrime, sieve_ba
Crypto--RSA系列
刘十三t的博客
06-14 4174
记录RSA的一些题
RSA算法总结(数学知识/CTF题型)
qi_SJQ_的博客
12-18 6556
1.RSA简介
CTF中椭圆曲线相关的攻击
lastwinn的博客
04-17 954
学习记录
compat-libstdc++-33-3.2.3-72.el7.i686.rpm
06-09
compat-libstdc++-33-3.2.3-72.el7.i686.rpm
cryptographic algorithms_rsac++_Diffie-Hellman_diffiehellman_cry
09-29
1. RSA(Rivest-Shamir-Adleman)算法: RSA是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出。它基于大素数分解的数学难题,公钥和私钥是成对出现的。公钥可以公开,用于加密信息;...
RSA.rar_Pollard p-1_RSA key generation_cryptosystem_rsa_rsa bmp
09-24
RSA公钥加密的基本实现 bmp灰度图片加解密操作包括 RSA 的加减密算法; 素数检测算法;RSA 密钥生成算法; 应用该 RSA 密码体制加、解密; BMP 灰度图的算法; Pollard p-1 算法 ; Pollard r 算法 ;
RSAc.rar_rsac++
09-19
- **计算n和φ(n)**:n=p*q,φ(n)=(p-1)*(q-1),这两个值在RSA算法中非常重要。 - **选择e**:e是与φ(n)互质的正整数,通常选择e=65537,因为它是一个既方便计算又安全的数值。 - **计算d**:d是e的模φ(n)的...
B光滑数——NOIP模拟赛
BEETLESS的博客
08-11 218
B光滑数 Question 问题描述   B为一个正整数,如果一个自然数N的因子分解式中没有大于B的因子,我们就称N是一个B光滑数。请你编一个程序,求出某个区间中所有的B光滑数的个数。 输入格式   输入仅有一行,包含三个用空格隔开的整数n,m,b,其中1&lt;=n&lt;=2000000000,1&lt;=m&lt;=100000000,1&lt;=b&lt;=1000000。 输.........
大整数分解算法
weixin_33739523的博客
05-09 1467
重读维基百科整理。 特殊分解算法: 试除法(Trial division) 轮式因子分解法(Wheel factorization) Pollard's rho算法(Pollard's rho algorithm) 代数群因子分解算法(Algebraic-group factorisation algorithms),包括: ·Pollard's p-1算...
RSA Factor Attack 及常用脚本
weixin_44159598的博客
11-08 1093
基本解密 以下全文中代表乘方,例如:23=2的3次方=8 c^d %n == (me)d %n ==m^ (ed)%n ==m^(ed %(φ(n)))%n ==m^1 %n 下面开始正文 Factor Attack 1、当p==q n=p*q=p**2 φ(n)=p**2-p 2、孪生质数(twin prime) 定义:孪生素数就是指相差2的素数对,例如:3和5,5和7,以36N(N+1)为界,孪生素数以波浪形式渐渐增多 n1=p*q,n2=(p+2)*(q+2) φ(n
BUUCTF Crypto [V&N2020 公开赛]easy_RSA wp
hsqGOD's blog
04-21 1793
这道题我们看到加密的脚本,首先我们可以关注到,这题目的素数生成机制是不断的乘然后再减一可以得到素数,我们可以发现,因子p再加一也就是p+1是光滑到,于是我们可以使用Williams’p+1 algorithm求解 可以直接调用库的函数 // 命令行调用即可 python2 -m primefac -vs -m=p+1 794137173995657728016066441938374096751...
【bzoj4524】【CQOI2016】【伪光滑数】【堆+贪心】
sunshinezff的专栏
04-19 744
Description 若一个大于R的整数J的质因数分解有F项,其最大的质因子为ak,并且满足ak^k≤N, ak 现在给出L,求所有整数中,第E大的N-伪光滑数。 Input 只有一行,为用空格隔开的整数L和E。 2 ≤ N ≤ 10^18, 1 ≤ K ≤ 800000,保证至少有 E 个满足要求的数 Output 只有一行,为一个整数,表示答案。
CTF-Crypto-RSA整理
热门推荐
Love&Share
10-28 1万+
rsa基本参数 N:大整数N,我们称之为模数(modulus) p 和 q :大整数N的两个因子(factor) e 和 d:互为模反数的两个指数(exponent) c 和 m:分别是密文和明文 {N,e}称为公钥,{N,d}称为私钥 加密过程: c=m^e mod n c=pow(m,e,n) 解密过程: m=c^d mod n m=pow(c,d,n) 求解私钥d: d = gmpy2.invert(e, (p-1)*(q-1)) 一般来说,n,e是公开的,但是由于n一般是两
密码学基础
最新发布
KevinChen2019的博客
08-29 92
1、Alice 给 Bob传信息,Alice用Bob的公钥加密,Bob用自己的私钥解密。1、对于一个密码学系统,应当仅有密钥是保密的,其余算法和一切参数都应该是公开的。2、Alice用自己的私钥签名,其他人可以用Alice的公钥验证签名有效性。2、并不一定要数学上完全不可破解,只要在现实中不可能破解即可。传统方式:通过非对称交换密钥,再用对称加密通信。2、在没有私钥的情况下,无法获取到明文相关信息。1、Alice想证明某个消息是自己发的。3、在没有私钥的情况下,无法伪造签名。1、加密解密使用的密钥不同。
rsa里(p+1)(q+1)
05-10
RSA加密算法中,我们需要选择两个大素数p和q,并计算它们的乘积n=p*q。同时,我们需要选择一个整数e,它与(p-1)*(q-1)互质,并计算出e的模反元素d,使得(e*d) mod ((p-1)*(q-1))=1。公钥就是(n, e),私钥就是(n, d)。 (p+1)*(q+1)在RSA加密算法中的作用是用来计算(p-1)*(q-1)。因为(p+q)=(p-1)+(q-1)+2,所以(p+1)*(q+1)=p*q+(p+q)+1=p*q+n+1。因此,我们可以通过(p+1)*(q+1)和n=p*q来计算(p-1)*(q-1),即(p-1)*(q-1)=(p+q)-n-1=(p+1)*(q+1)-2*n。 在RSA加密算法中,(p+1)*(q+1)和(p-1)*(q-1)都是重要的参数,它们分别用来选择加密指数e和解密指数d。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Paintrain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值