SRCTF2024-baby-多元Coppersmith

最新推荐文章于 2024-08-08 11:09:25 发布
最新推荐文章于 2024-08-08 11:09:25 发布
阅读量521 收藏 16
点赞数 9
文章标签: 安全 密码学 网络安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niuma1122/article/details/140994743
版权

目录

1.题目

2.Coppersmith方法介绍

什么是coppersmith

多元copper的运用

EXP

1.题目

from enc import flag
from Crypto.Util.number import *


m = bytes_to_long(flag)
p = getPrime(512)
q = getPrime(512)
r = getPrime(700)
t = getPrime(800)
tmp = getPrime(10)
e = 65537
n = p*q
print(f"c = {pow(m,e,n)}")
print(f"leak = {p*r+q*t+tmp}")
print(f"r = {r}")
print(f"t = {t}")

'''
c = 30075387915048470863070050827629191303436443913395824732907226821054460652219815718226645166341618100700084925720992983286419204902032573926790086035422540879196867669665497753447829812026327367178333296715527968448124126434045869420695221514125724904849358819864918062875310272203931927234053359553779163755
leak = 52407066630998720273731758848751180003129908965730006096464345923549459617438414126937562326106182853585345246472838907532807236677219886418149723311118855918338387062301958904467478605422673207935942348215552655035846974843053690523359908921489934306458440759517598485452824210146131626776354968352617955744704892906092826257342911994753745093428990023111339468228443855826492957321799005181961
r = 4515378990844403115229704433484433833022655205121974667074150580454343643752811757675793959795169040704894972951300994535151410073321406165168737850534934347874731893617893819762340858239387281147345869706971753
t = 6006929234728180950140499814342609393927042935104177663404375056306287820676434237439964941788093406713118055152122129530273026459457066165368157449726903765601586482566299501860863052052121811433466409338266730837645652741024637475218039773
'''

观察题目,关键点在leak这个方程,是一个关于p和q的函数

2.Coppersmith方法介绍

什么是coppersmith

给定一个多项式

f(x)=x^n{}+a_{n-1}x^{n-1}+...a_{1}x^{}+a_{0}

要找到在mod N下,的f(x)=0,在不加限制的条件下,这是个很困难的问题,因为f(x)的系数可能会比较大

所以coppersmith想出一个方法,就是在找到一个g(x),这个g(x)系数比较小,系数小到可以用牛顿迭代法来求x0,使得g(x)在模N等于0时,f(x)也等于0

g(x)=x^n{}+b_{n-1}x^{n-1}+...b_{1}x^{}+b_{0}

g(x)\equiv 0 (mod N)\rightarrow f(x)\equiv 0 (mod N)

那么如何找这个g(x)呢

我们可以通过乘以x的次幂和乘以f(x)次幂来求

h_{ij}(x)=x^{i}(f(x))^{j}

将一系列的h(x)通过线性组合得到g(x)

g(x)=\sum c_{ij}h_{ij}f(x),c_{ij}\varepsilon \mathbb{Z}

利用LLL格基规约算法使得系数变小,把h(x)的系数当成g(x)的基向量,那么规约出来的第一个基向量就是g(x)的系数

多元copper的运用

这里时一份模板,就是说可以套用来求方程的多个解

import itertools
 
def small_roots(f, bounds, m=1, d=None):
    if not d:
        d = f.degree()
 
    R = f.base_ring()
    N = R.cardinality()
    
    f /= f.coefficients().pop(0)
    f = f.change_ring(ZZ)
 
    G = Sequence([], f.parent())
    for i in range(m+1):
        base = N^(m-i) * f^i
        for shifts in itertools.product(range(d), repeat=f.nvariables()):
            g = base * prod(map(power, f.variables(), shifts))
            G.append(g)
 
    B, monomials = G.coefficient_matrix()
    monomials = vector(monomials)
 
    factors = [monomial(*bounds) for monomial in monomials]
    for i, factor in enumerate(factors):
        B.rescale_col(i, factor)
 
    B = B.dense_matrix().LLL()
 
    B = B.change_ring(QQ)
    for i, factor in enumerate(factors):
        B.rescale_col(i, 1/factor)
 
    H = Sequence([], f.parent().change_ring(QQ))
    for h in filter(None, B*monomials):
        H.append(h)
        I = H.ideal()
        if I.dimension() == -1:
            H.pop()
        elif I.dimension() == 0:
            roots = []
            for root in I.variety(ring=ZZ):
                root = tuple(R(root[var]) for var in f.variables())
                roots.append(root)
            return roots
    return []
 
def univariate():
    print('Univariate')
    bounds = (floor(N^.3),)
    roots = tuple(randrange(bound) for bound in bounds)
    R = Integers(N)
    P.<x> = PolynomialRing(R, 1)
    monomials = [x, x^2, x^3]
    f = sum(randrange(N)*monomial for monomial in monomials)
    f -= f(*roots)
    print(small_roots(f, bounds, m=7))
 
def bivariate():
    print('Bivariate')
    bounds = (floor(N^.15), floor(N^.15))
    roots = tuple(randrange(bound) for bound in bounds)
    R = Integers(N)
    P.<x, y> = PolynomialRing(R)
    monomials = [x, y, x*y, x^2]
    f = sum(randrange(N)*monomial for monomial in monomials)
    f -= f(*roots)
    print(small_roots(f, bounds))
 
def trivariate():
    print('Trivariate')
    bounds = (floor(N^.12), floor(N^.12), floor(N^.12))
    roots = tuple(randrange(bound) for bound in bounds)
    R = Integers(N)
    P.<x, y, z> = PolynomialRing(R)
    monomials = [x, y, x*y, x*z, y*z]
    f = sum(randrange(N)*monomial for monomial in monomials)
    f -= f(*roots)
    print(small_roots(f, bounds))
 
def boneh_durfee():
    print('Boneh Durfee')
    bounds = (floor(N^.255), 2^1024)
    d = random_prime(bounds[0])
    e = inverse_mod(d, (p-1)*(q-1))
    roots = (e*d//((p-1)*(q-1)), (p+q)//2)
    R = Integers(e)
    P.<k, s> = PolynomialRing(R)
    f = 2*k*((N+1)//2 - s) + 1
    res = small_roots(f, bounds, m=4, d=4)
    if res:
        kk,ss = res[0]
        #s = p+q/2
        var('x,y')
        s = solve([(x+y)-2*int(ss),x*y-N],x,y)
        return [s[0][0].rhs(),s[0][1].rhs()]
    return []
 
def approximate_factor():
    print('Approximate factor')
    bounds = (floor(N^.05), floor(N^.05))
    roots = tuple(randrange(bound) for bound in bounds)
    R = Integers(N)
    P = PolynomialRing(R, len(bounds), 'x')
    f = sum(randrange(2^128)*x for x in P.gens())
    f += p - f(*roots)
    print(small_roots(f, bounds, m=2, d=4))


def trivariate_v():
    print('Trivariate')
    bounds = (floor(N^.12), floor(N^.12), floor(N^.12))
    roots = tuple(randrange(bound) for bound in bounds)
    print(roots)
    R = Integers(N)
    P.<x, y, z> = PolynomialRing(R)
    monomials = [x, y, x*y, x*z, y*z]
    f = sum(randrange(N)*monomial for monomial in monomials)
    f -= f(*roots)
    print(small_roots(f, bounds))



if __name__ == '__main__':
    print('Generating primes')
    p = random_prime(2^1024)
    q = random_prime(2^1024)
    N = p*q
    univariate()
    bivariate()
    trivariate()
    boneh_durfee()

较于单元 copper 而言,多元 copper 无非就是从原来的找最前面的那一条短的系数向量,变成了找前面的多条短的系数向量,然后再求解一下方程组,就能把解都求出来了。

EXP

import itertools
def small_roots(f, bounds, m=1, d=None):#多元copper
    if not d:
        d = f.degree()
    R = f.base_ring()
    N = R.cardinality()
    f /= f.coefficients().pop(0)
    f = f.change_ring(ZZ)
    G = Sequence([], f.parent())
    for i in range(m + 1):
        base = N ^ (m - i) * f ^ i
        for shifts in itertools.product(range(d), repeat=f.nvariables()):
            g = base * prod(map(power, f.variables(), shifts))
            G.append(g)
    B, monomials = G.coefficient_matrix()
    monomials = vector(monomials)
    factors = [monomial(*bounds) for monomial in monomials]
    for i, factor in enumerate(factors):
        B.rescale_col(i, factor)
    B = B.dense_matrix().LLL()
    B = B.change_ring(QQ)
    for i, factor in enumerate(factors):
        B.rescale_col(i, 1 / factor)
    H = Sequence([], f.parent().change_ring(QQ))
    for h in filter(None, B * monomials):
        H.append(h)
        I = H.ideal()
        if I.dimension() == -1:
            H.pop()
        elif I.dimension() == 0:
            roots = []
            for root in I.variety(ring=ZZ):
                root = tuple(R(root[var]) for var in f.variables())
                roots.append(root)
            return roots
    return []


c = 30075387915048470863070050827629191303436443913395824732907226821054460652219815718226645166341618100700084925720992983286419204902032573926790086035422540879196867669665497753447829812026327367178333296715527968448124126434045869420695221514125724904849358819864918062875310272203931927234053359553779163755
leak = 52407066630998720273731758848751180003129908965730006096464345923549459617438414126937562326106182853585345246472838907532807236677219886418149723311118855918338387062301958904467478605422673207935942348215552655035846974843053690523359908921489934306458440759517598485452824210146131626776354968352617955744704892906092826257342911994753745093428990023111339468228443855826492957321799005181961
r = 4515378990844403115229704433484433833022655205121974667074150580454343643752811757675793959795169040704894972951300994535151410073321406165168737850534934347874731893617893819762340858239387281147345869706971753
t = 6006929234728180950140499814342609393927042935104177663404375056306287820676434237439964941788093406713118055152122129530273026459457066165368157449726903765601586482566299501860863052052121811433466409338266730837645652741024637475218039773

R.<p, q> = Zmod(leak)[]
for tmp in range(2 ^ 9, 2 ^ 10):
    f = p * r + q * t + tmp
    res = small_roots(f, bounds = (2 ^ 512, 2 ^ 512), m = 3, d = 2)
    if res:
        print(res)
        break

导入所需的库函数 itertools。
定义 small_roots 函数,接受三个参数:
f: 需要求解的多元多项式方程
bounds: 整数根的范围
m: 控制项的个数
d: 多项式的最大度数
首先对 f 进行标准化处理,即去除常数项。
构建一组多项式 G,包含 f 的不同次幂和偏移项。具体地:
遍历 m+1 个次数 i,对于每个 i,计算 N^(m-i) * f^i,其中 N 是基域的cardinality。
对于每个基本多项式,再遍历 f 的变量个数 d,生成不同的偏移项。
将这些多项式收集到 G 序列中。
构建系数矩阵 B 和单项式向量 monomials。
对 B 的每一列进行缩放,使得每一列的系数都在给定的整数范围 bounds 内。
对 B 执行 LLL 规约,得到规约后的矩阵 B。
将 B 转换为有理数矩阵,并再次对每一列进行缩放,使得系数都在单位范围内。
从 B * monomials 中提取非零向量,构建理想 I。
如果 I 的维数为 0,则说明找到了方程的整数根,将其全部返回。否则继续搜索。

参考资料:

密码学攻击之RSA

密码学学习笔记之Coppersmith’s Method

lin599273
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Coppersmith-Winograd 算法
08-01 1914
转自:https://www.douban.com/group/topic/29658298/ 对正整数 $q$,定义张量 $T$,其对应的多项式为 $p(X,Y,Z)=\sum_{i=1}^q (X_0Y_iZ_i+X_iY_0Z_i+X_iY_iZ_0)$。对于 $\epsilon>0$,定义张量 $T(\epsilon)$,其对应的多项式为\begin{align}...
快速矩阵乘法 strassen算法、coppersmith-winograd算法
xzf_cellery的博客
02-07 3727
竹杖芒鞋轻胜马,一蓑烟雨任平生 首页 标签 分类 归档 关于 快速矩阵乘法 发表于 2016-07-19 | 分类于 算法 , 性能优化 | 0 | 阅读次数: 5055 矩阵乘法 矩阵乘法是高性能计算以及深度学习的基石之一,矩阵乘法的优化一直是相关业界的关注重点。 矩阵乘法的定义非常简单,定义见:wiki。 最简单的矩阵乘法实现 最简单的矩阵乘法实现,时间复杂度为O^3。 static void mm_generate(float* matA,float* matB,float* matC,cons
2019强网杯 - 密码学-RSA-Coppersmith
热门推荐
BlusKing
05-28 1万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
2024beginCTF-Crypto 复现
qq_41889600的博客
02-13 604
2024beginCTF Crypto 复现
Boneh-Durfee攻击
qq_48550824的博客
12-17 1297
Boneh-Durfee攻击 Use SageMath Online
2023 LitCTF --- Crypto wp
3tefanie丶zhou的博客
05-21 1313
【善,论心不论迹,论迹贫家无孝子;恶,论迹不论心,论心世上无完人。】
CTF-CRYPTO-RSA
m0_73649671的博客
06-15 1023
RSA是一种非对称加密体制 ,所谓非对称就是加密钥和解密钥不一样,要解决加解密相关问题,我们首先要弄清楚RSA加密解密流程中用到了哪些东西
关于coppersmith的例题
guyanqiuqiu的博客
06-16 976
rsa中高位攻击方式所遇到的一些非套路的题目
2020JTWLB-个人CTF-CRYPTO-weakrsa
zippo1234的博客
10-28 855
2020JTWLB-个人CTF-CRYPTO-weakrsaweakrsa题目分析开始1.题目2.分析3.原理Coppersmith’s short-pad attackKnown High Bits Message Attack4.上脚本5.get flag结语 每天一题,只能多不能少 weakrsa 题目分析 其实是昨天做的,偷个懒,今天再补上一题。 确实很weak。但是这是相对于大神而言???? 高位相同的m 短填充攻击Coppersmith Shortpad Attack FranklinReit
cpp-基准测试矩阵乘法的实现
08-16
5. **算法优化**:使用Strassen或Coppersmith-Winograd等更高效的矩阵乘法算法,虽然这些算法在理论上的时间复杂度更低,但在实际应用中可能只对极端大尺寸的矩阵有效。 6. **编译器优化**:启用编译器的优化选项,...
4、基础省选+NOI-第4部分 动态规划_2020.08.29.pdf
11-25
3. 矩阵加速:在动态规划中,有时我们需要进行大量矩阵的乘法运算,矩阵加速技术如Strassen算法或Coppersmith-Winograd算法可以减少矩阵乘法的时间复杂度。这些方法通过分解和重组矩阵,减少了基本的乘法操作,从而...
RSA-and-LLL-attacks:通过晶格约简(LLL)攻击RSA
04-30
首先,我们将看到Coppersmith如何发现您可以使用晶格简化技术来攻击宽松的RSA模型(我们知道消息的一部分,或者我们知道其中一个素数的一部分,...)。 以及Howgrave-Graham如何重新制定他的进攻方式。 其次,我们...
专题四-个人课后上机1
08-08
这种计算方式在n较大时效率较低,对于大规模矩阵运算,我们通常会采用更高效的算法,如Strassen算法或Coppersmith-Winograd算法,它们的时间复杂度更低。 其次,RemoveZeroElements函数用于从整型数组中删除所有值...
域名安全详解
TechEnthusiast的博客
08-06 165
域名安全网络安全的重要组成部分,涉及多个方面。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1377
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 858
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
某赛通电子文档安全管理系统 CDGAuthoriseTempletService1 SQL注入漏洞复现(XVE-2024-19611)
最新发布
0xSec
08-08 618
某赛通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
Coppersmith-Winograd算法的相关资料
07-11
Coppersmith-Winograd算法的相关资料可以在以下资源中找到详细信息: 1. Coppersmith, D., & Winograd, S. (1990). Matrix multiplication via arithmetic progressions. Journal of Symbolic Computation, 9(3), 251-280. 2. Coppersmith, D., & Winograd, S. (1987). Matrix multiplication via arithmetic progressions. Proceedings of the 19th Annual ACM Symposium on Theory of Computing, 1-6. 这些论文提供了Coppersmith-Winograd算法的详细描述和证明。你可以通过学术数据库(如Google学术)或图书馆的在线目录来查找和获取这些论文。此外,还可以在相关的线性代数和计算复杂度理论教材中找到有关该算法的解释和讨论。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值