RSA dp泄露及其变式

于 2025-01-11 12:12:24 发布
阅读量719 收藏 23
点赞数 9
文章标签: CTF crypto RSA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79035389/article/details/145023410
版权

普通dp泄露

from Crypto.Util.number import bytes_to_long
m=bytes_to_long(flag)
n= 12308543373374311860115195114269947739026255098864232126071500623399852788903738569949462616714391748269539072128882946132686996592089735285396762634029371785959865779256901123369306119124563405765293657606975290441243965513640680841871955014230301486214824204887945375140818283280272607903500556306646445508386218951500563603482945071727344737690804338144982687000734071274618240408238519378280819162796749148066754028700125846348589164721591354555019608871411236973606149388257533629388508942271702742078883636357856776193846813894734271905070538713351614750057245897158615891962167410053552739441195871000310777649
e= 65537
dp= 28196759050232165736649945458463681080421101473761579424309687746007021074159564720195299959516638110870101025657932732247788828322476803386736345945717104030991724584628153257976163663460034720811420324255626233108130037584679035250792445830510130682783638394418531763109219293027733347554816808577799709553
c= 1855798257044238280327042455832785889763141234883180404158555071443088630113034033050409259513632343742665544043437830959750873431928980910236398026670945184328950692568113819821699696418438157336263799808404698795433243968536256780396910914692949484556950491722527661706255009863481905590371725089587377065000354109396062360440021447607401687082247775453369117424848927386857425051097931983703966253652921113920387008048024308793686643944404541941182997963873579988680965558581885273185721576668001462817150245955628293258512024323515581063235248627223179117549540541642185815489978089367061102920114395871329023208

先复习一下dp的推理过程​​​​
​​​​在这里插入图片描述

from Crypto.Util.number import *
from sympy import *
from tqdm import tqdm
from libnum import *
from string import *
from hashlib import *
import os
from gmpy2 import *
from hashlib import *
from random import  *

n= 12308543373374311860115195114269947739026255098864232126071500623399852788903738569949462616714391748269539072128882946132686996592089735285396762634029371785959865779256901123369306119124563405765293657606975290441243965513640680841871955014230301486214824204887945375140818283280272607903500556306646445508386218951500563603482945071727344737690804338144982687000734071274618240408238519378280819162796749148066754028700125846348589164721591354555019608871411236973606149388257533629388508942271702742078883636357856776193846813894734271905070538713351614750057245897158615891962167410053552739441195871000310777649
e= 65537
dp= 28196759050232165736649945458463681080421101473761579424309687746007021074159564720195299959516638110870101025657932732247788828322476803386736345945717104030991724584628153257976163663460034720811420324255626233108130037584679035250792445830510130682783638394418531763109219293027733347554816808577799709553
c= 1855798257044238280327042455832785889763141234883180404158555071443088630113034033050409259513632343742665544043437830959750873431928980910236398026670945184328950692568113819821699696418438157336263799808404698795433243968536256780396910914692949484556950491722527661706255009863481905590371725089587377065000354109396062360440021447607401687082247775453369117424848927386857425051097931983703966253652921113920387008048024308793686643944404541941182997963873579988680965558581885273185721576668001462817150245955628293258512024323515581063235248627223179117549540541642185815489978089367061102920114395871329023208
for i in range(2,e):
    if (e*dp-1)%i==0:
        p=(e*dp-1)//i+1
        q=n//p
        d=inverse(e,(p-1)*(q-1))
        print(long_to_bytes(pow(c,d,n)))

变式一 n = p b ∗ q n=p^b*q n=pbq

给定 n , c , p , d p , b n,c,p,dp,b n,c,p,dp,b
在这里插入图片描述

from Crypto.Util.number import *
import gmpy2
p = 
dp = 
c = 
b = 
e = 
mp1 = pow(c, dp, p)
mp = pow(c, dp - 1, p)
for i in range(1, b - 2):
	x = pow(c - pow(mp1, e), 1, p**(i + 1))
	y = pow(x * mp * (gmpy2.invert(e, p)), 1, p**(i + 1))
	mp1 = mp1 + y
print(long_to_bytes(mp1))

变式二 已知dp高位

已知 d p 0 , n , c , k , p dp_0,n,c,k,p dp0,n,c,k,p
关于dp可以做一个模p的coppersmith,而n是p的倍数,所以可以对dp已知位和n做一个coppersmith得到dp
在这里插入图片描述

#Sage
dp0 = 
e = 
n = 

F.<x> = PolynomialRing(Zmod(n))
d = inverse_mod(e, n)
for k in range(1, e):
	f = (secret << 200) + x + (k - 1) * d
	x0 = f.small_roots(X=2 ** (200 + 1), beta=0.44, epsilon=1/32)
	if len(x0) != 0:
		dp = x0[0] + (secret << 200)
		for i in range(2, e):
			p = (e * Integer(dp) - 1 + i) // i
			if n % p == 0:
				break
		if p < 0:
			continue
		else:
			print('k = ',k)
			print('p = ',p)
			print('dp = ',dp)
			break

变式三 dp很小而e很大

  • 在普通的dp泄露里我们通过爆破k来求解,然而如果e足够大,那么爆破的策略也就失效
  • 继续做一个推导
    e ∗ d p ≡ 1 m o d    p − 1 → e ∗ d p − 1 = k ∗ ( p − 1 ) e*dp\equiv1\mod{p-1}\\ \rightarrow e*dp-1=k*(p-1) edp1modp1edp1=k(p1)
    由欧拉定理,如果m与p不互素,则直接求 g c d ( m , n ) gcd(m,n) gcd(m,n)大概率得到p,如果m与p互素
    m p − 1 ≡ 1 m o d    p m e ∗ d p − 1 ≡ 1 m o d    p m^{p-1} \equiv 1 \mod p\\ m^{e*dp-1} \equiv 1 \mod p mp11modpmedp11modp
    所以求 g c d ( m e ∗ d p − 1 − 1 , n ) gcd(m^{e*dp-1}-1,n) gcd(medp11,n)大概率得到p

变式四 dp过小用变式三求解不了

这一部分用到一些构造格的知识,不太懂,直接去看la佬的博客吧

变式五 给出dp和dq

在这里插入图片描述

import gmpy2 as gp

p = 
q = 
dp = 
dq = 
c = 

n = p*q
phin = (p-1)*(q-1)
dd = gp.gcd(p-1, q-1)
d=(dp-dq)//dd * gp.invert((q-1)//dd, (p-1)//dd) * (q-1) +dq
print(d)

m = gp.powmod(c, d, n)
print('-------------------')
print(m)
print(hex(m)[2:])
print(bytes.fromhex(hex(m)[2:]))
lally.
关注
RSA-详解dp泄漏
luoluopeach
10-23 5354
原理: 0.基本数学公 a=kb+pa = kb + pa=kb+p amodb=pa mod b =pamodb=p 1.RSA的基本公 c≡memodnc \equiv m^emodnc≡memodn m≡cdmodnm\equiv c^dmodnm≡cdmodn ϕ(n)=(p−1)×(q−1)\phi(n)=(p-1)\times(q-1)ϕ(n)=(p−1)×(q−1) d×e≡1modϕ(n)d\times e \equiv1mod\phi (n)d×e≡1modϕ(n) 2.dp是什么 d
buu RSA2
ao52426055的博客
11-27 1105
查看题目 类型:dp+n+e+c = m dp泄露 RSA各题型脚本\dp+n+e+c = m import gmpy2 as gp e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588773716205800604331015383280303052199186976436198142009306796121098855338013353484450237516704784370730555447242
RSAdp泄露
m0_74736832的博客
03-22 1224
Crypto.Util.number 是 Python 中一个常用的密码学工具库,提供了许多常用的数字操作函数。以下是其中一些常用的函数:特征:
CTF_RSA_dp泄露
fengerxi33的博客
03-08 1204
dp泄露 出题脚本 #coding:utf-8 import random import base64 import hashlib import string import libnum def put_flag(): # 字符串列表 a = string.printable flag = "" for i in range(10): flag += a[random.randint(0, 99)] flag = r"flag{%s}"%(hash
RSA_dp泄露
最新发布
qq_1182418846的博客
10-24 1111
dp是什么,其实dp就是由下面公得到的一个数值而已引入公dp=d mod (p-1)如果题目给出dp和e的值,那我们如何求d和p-1呢公转换:dp≡---->可以看出dp<p-1,因为模数是p-1所以X<e遍历X即可得到相应的p-1,从而确定得到的p-1是否正确公转换原理:已知两边乘eRSA中已知代入形移项令X=k2*(q-1)-k1。
dp泄露rsa
Luiino的博客
08-12 1450
之前写题遇到过dp泄露题型,但一直没搞懂原理,脚本也是借鉴(抄袭)的别人的,今天好好学一下,自己推导一遍(敲起来麻烦,手写了)。
【Go语言数据签名实战】:使用crypto_rsa实现消息的签名和验证
[【Go语言数据签名实战】:使用crypto_rsa实现消息的签名和验证](https://opengraph.githubassets.com/a13c0ac1c187f182a873460c1f6bca3a2537543076b85d52a17d67d5bb9ea200/dunkyp/crypto-rsa-example) # 1. Go语言...
Xilinx DP接口编程指南:从协议理解到代码实现的全程解析
首先,本文概述了DP接口的应用场景,并对DP协议的特性、层次结构、扩展性及其与其他技术的兼容性进行了深入分析。其次,详细探讨了DP接口硬件设计的电气特性、电路设计基础和调试测试方法。在软件编程部分,本文阐述...
Xilinx DP接口安全特性:24小时防篡改与数据保护终极指南
![Xilinx DP接口安全特性:24小时防篡改与数据保护终极指南]...本文全面概述了DP接口技术及其所遭遇的安全风险,并深入探讨了Xilinx提供的DP接口的安全特性。文章详细解读了DP接口的安全基础、防篡
医疗保健行业数据隐私保护:DP-Modeler的定制化方案
本文首先探讨了数据隐私保护的重要性和面临的挑战,然后详细介绍了DP-Modeler的隐私保护机制,包括数据匿名化技术、数据加密技术以及访问控制与权限管理。接着,文章阐述了DP-Modeler定制化方案的实施步骤,包括需求
RSATool.zip
07-12
RSA算法是一种非对称加密算法,由Ron Rivest...总的来说,RSA算法及其工具RSATool是现代密码学中的重要组成部分,它们为数据的传输和存储提供了安全保障。正确理解和使用这些工具,可以帮助我们构建更安全的网络环境。
buu RSA1
ao52426055的博客
11-26 2243
查看题目 类型:dp+dq+p+q+c = m 已知dp dq泄露 使用脚本dp+dq+p+q+c = m 这个就用python来写即可 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 1264067497399647276917
ctfshow crypto funnyrsa3 RSAdp泄露
m0_62506844的博客
01-17 1885
给出了n,c,e,dp,我们可以借助这些来求解pq 网上看了不少wp,对于有关dp的推导总感觉写的不是非常透彻,自己动手写一下,有助于理解。 一开始我以为dp的意思是d*p,那样n=p*q,求n/d*p就等于p*q/d*p=q/d,用fractions函数里的Fraction理论上就能把q和d求出来,但是做不出来,网上查了wp发现原来dp的意思是 dp=d%(p-1) 好家伙,根据这个子可以往下推导(纯纯的数学运算了): 换一下得到 在rsa中定义 所以 换得到 我.
CTF RSA练习题(5)dp泄露
tgmhh的博客
08-19 602
ctf rsa dp泄露
dp泄露题型2
m0_74030040的博客
10-31 199
dp泄露题型2
RSAdp泄露 —— 【WUST-CTF2020】leak
Ve99tr’s Blog
03-30 5127
RSAdp泄露 && gmpy2安装
RSA dp泄露的数学原理
MikeCoke的博客
05-13 3154
To copy code without thinking is to play hooligan!!!!
RSAdp,dq ,npp的求解方法
qq_52193383的博客
08-17 4087
这里写目录标题1.已知n,e,c,npp求解明文2.已知p,q,dp,dq,c求明文3.已知e,n,dp/(dq),c求明文 1.已知n,e,c,npp求解明文 npp = (p+2) * (q+2) 解密过程: e , p1=p , q1=q , n1=p * q , φ(n1)=(p1-1) * (q1-1) , p2=(p+2) , q2=(q+2) , n2=(p+2) * (q+2) , φ(n2)=(p2-1) * (q2-1) 首先根据e和φ(n2)求出d2,对c解密求得明文m2,
Crypto--RSA系列
刘十三t的博客
06-14 5432
记录RSA的一些题
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值