CTF-Crypto-RSA共模攻击和模不互素攻击

已于 2023-12-10 10:58:06 修改
阅读量1.2k 收藏 9
点赞数 11
分类专栏: CTFCrypto学习记录 文章标签: CTF 学习 密码学
于 2023-12-10 10:13:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sciurdae/article/details/134904758
版权

文章目录

RSA共模攻击

利用场景

俩次加密使用了相同的N,有不同的e和c。即已知条件:e1,e2,c1,c2,n;

根据

gcd(e1, e2) = 1
m = c1^d1 mod n
m = c2^d2 mod n

求m。

推导过程

先引入 欧几里德扩展算法 :

​ 扩展欧几里得算法用于求解两个整数的最大公约数(GCD)以及相应的贝祖等式(Bézout’s identity)。

​ 对于俩个整数e1和e2,如果它们的最大公约数为1,即gcd(e1, e2) = 1,那么存在整数s1和s2,使得

e1*s1 + e2*s2 = 1

这个等式表达了 e1 和 e2 的线性组合等于 1,其中 s1 和 s2 是整数。

所以根据欧几里德扩展算法,已知e1*s1 + e2*s2 = 1

因为

c1 = m^e1 mod n
c2 = m^e2 mod n

所以

(c1^s1*c2^s2) mod n = ((m^e1 mod n)^s1*(m^e2 mod n)^s2) mod n


(c1^s1*c2^s2) mod n = (m^(e1^s1 + e2^s2)) mod n

所以

(c1^s1*c2^s2) mod n = (m^(1)) mod n


c1^s1*c2^s2= m

可以得证 m

注意的点:

因为 e1*s1 + e2*s2 = 1 这里可知 s1和s2中有一个为负数,在计算时需要判断哪一个为负数并进行模反转。

利用公式:

gcd, s, t = gmpy2.gcdext(e1, e2)

这里使用了 gmpy2 库中的 gcdext 函数来计算两个整数 e1e2 的最大公约数以及相应的 Bézout 系数。贝祖系数就是 s1和 s2;

例题分析

[SWPUCTF 2021 新生赛]crypto2

from gmpy2 import *
from Crypto.Util.number import *

flag  = '***************'

p = getPrime(512)
q = getPrime(512)
m1 = bytes_to_long(bytes(flag.encode()))

n = p*q
e1 = getPrime(32)
e2 = getPrime(32)
print()

flag1 = pow(m1,e1,n)
flag2 = pow(m1,e2,n)
print('flag1= '+str(flag1))
print('flag2= '+str(flag2))
print('e1= ' +str(e1))
print('e2= '+str(e2))
print('n= '+str(n))


#flag1= 100156221476910922393504870369139942732039899485715044553913743347065883159136513788649486841774544271396690778274591792200052614669235485675534653358596366535073802301361391007325520975043321423979924560272762579823233787671688669418622502663507796640233829689484044539829008058686075845762979657345727814280
#flag2= 86203582128388484129915298832227259690596162850520078142152482846864345432564143608324463705492416009896246993950991615005717737886323630334871790740288140033046061512799892371429864110237909925611745163785768204802056985016447086450491884472899152778839120484475953828199840871689380584162839244393022471075
#e1= 3247473589
#e2= 3698409173
#n= 103606706829811720151309965777670519601112877713318435398103278099344725459597221064867089950867125892545997503531556048610968847926307322033117328614701432100084574953706259773711412853364463950703468142791390129671097834871371125741564434710151190962389213898270025272913761067078391308880995594218009110313

已知条件c1,c2,e1,e2,n,且e1和e2互素。

EXP:

from Crypto.Util.number import long_to_bytes
from gmpy2 import gmpy2, invert

c1 = 100156221476910922393504870369139942732039899485715044553913743347065883159136513788649486841774544271396690778274591792200052614669235485675534653358596366535073802301361391007325520975043321423979924560272762579823233787671688669418622502663507796640233829689484044539829008058686075845762979657345727814280
c2 = 86203582128388484129915298832227259690596162850520078142152482846864345432564143608324463705492416009896246993950991615005717737886323630334871790740288140033046061512799892371429864110237909925611745163785768204802056985016447086450491884472899152778839120484475953828199840871689380584162839244393022471075
e1 = 3247473589
e2 = 3698409173
n = 103606706829811720151309965777670519601112877713318435398103278099344725459597221064867089950867125892545997503531556048610968847926307322033117328614701432100084574953706259773711412853364463950703468142791390129671097834871371125741564434710151190962389213898270025272913761067078391308880995594218009110313
gcd, s, t = gmpy2.gcdext(e1, e2)
if s < 0:
    s = -s
    c1 = invert(c1, n)
elif t < 0:
    t = -t
    c2 = invert(c2, n)
m = pow(c1, s, n) * pow(c2, t, n) % n
print(long_to_bytes(m))

参考文章:https://1ablades.github.io/2017/08/09/RSA%E5%85%B1%E6%A8%A1%E6%94%BB%E5%87%BB/
https://ctf-wiki.org/crypto/asymmetric/rsa/rsa_module_attack/#_7

RSA共享素数

攻击原理

当存在两个公钥的 N 不互素时,我们显然可以直接对这两个数求最大公因数,然后直接获得 p,q,进而获得相应的私钥。

例题分析

[羊城杯 2021]Bigrsa

题目

from Crypto.Util.number import *
from flag import *

n1 = 103835296409081751860770535514746586815395898427260334325680313648369132661057840680823295512236948953370895568419721331170834557812541468309298819497267746892814583806423027167382825479157951365823085639078738847647634406841331307035593810712914545347201619004253602692127370265833092082543067153606828049061
n2 = 115383198584677147487556014336448310721853841168758012445634182814180314480501828927160071015197089456042472185850893847370481817325868824076245290735749717384769661698895000176441497242371873981353689607711146852891551491168528799814311992471449640014501858763495472267168224015665906627382490565507927272073
e = 65537
m = bytes_to_long(flag)
c = pow(m, e, n1)
c = pow(c, e, n2)

print("c = %d" % c)

# output
# c = 60406168302768860804211220055708551816238816061772464557956985699400782163597251861675967909246187833328847989530950308053492202064477410641014045601986036822451416365957817685047102703301347664879870026582087365822433436251615243854347490600004857861059245403674349457345319269266645006969222744554974358264

n1 和 n2 都不能直接分解,且n1和n2互质。

EXP:

from Crypto.Util.number import *

n1 = 103835296409081751860770535514746586815395898427260334325680313648369132661057840680823295512236948953370895568419721331170834557812541468309298819497267746892814583806423027167382825479157951365823085639078738847647634406841331307035593810712914545347201619004253602692127370265833092082543067153606828049061
n2 = 115383198584677147487556014336448310721853841168758012445634182814180314480501828927160071015197089456042472185850893847370481817325868824076245290735749717384769661698895000176441497242371873981353689607711146852891551491168528799814311992471449640014501858763495472267168224015665906627382490565507927272073
e = 65537
c = 60406168302768860804211220055708551816238816061772464557956985699400782163597251861675967909246187833328847989530950308053492202064477410641014045601986036822451416365957817685047102703301347664879870026582087365822433436251615243854347490600004857861059245403674349457345319269266645006969222744554974358264

q = GCD(n1,n2)
p1 = n1 // q
p2 = n2 // q

d1 = inverse(e, (q-1)*(p1-1))
d2 = inverse(e, (q-1)*(p2-1))

print(long_to_bytes(pow(pow(c, d2, n2), d1, n1)))
【愚公系列】2022年04月 密码学攻击-RSA共模和模互素
时光隧道
09-23 4万+
RSA中N模数存在有共模和不共模,你能通过简单的算法把模数中的Q,P分离出来吗 我们的任务分为2个部分: 了解共模原理,获得flag。 了解模不互素原理,获得flag 此题为共模类型题,了解解题思路,获得flag 打开题目2中的task_cha,得到题目 根据题目可得 C1=24820838937466182485444267370237504001245434520824363343985049860235017106394020609491066932794628969688390297120
RSA算法原理详解
weixin_30735745的博客
06-29 728
一些相关的数学概念 在理解RSA算法之前,我们必须理解一些相关的数学概念。 质数及互质 质数(Prime number)又称素数,指在大于1的自然数中,除了1和该数自身外,无法被其他自然数整除的数。大于1的自然数若不是素数,则称之为合数。 如果两个或两个以上的整数的最大公约数是 1,则称它们为互质(也叫互素)。两个整数 a 与 b 互质,记为 a ⊥ b。 互质的两个数,有如下性质 整数a和b互...
CTF-RSA_共模攻击原理及脚本
fengerxi33的博客
02-18 4591
CTF-RSA_共模攻击原理及脚本 共模攻击,也称同模攻击。 同模攻击利用的大前提就是,RSA体系在生成密钥的过程中使用了相同的模数n。 在CTF题目中,就是 同一明文,同一n,不同e,进行加密。 m,n相同;e,c不同,且e1 和 e2互质 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" fo
CTF-RSA共模攻击
rhyme1213的博客
03-03 1104
RSA共模攻击原理和一道CTFRSA共模攻击例题。
[CTF] RSA共模攻击
weixin_30770495的博客
12-19 1829
from gmpy2 import * import libnum n = 0x00b0bee5e3e9e5a7e8d00b493355c618fc8c7d7d03b82e409951c182f398dee3104580e7ba70d383ae5311475656e8a964d380cb157f48c951adfa65db0b122ca40e42fa709189b71...
[SWPUCTF 2021 新生赛]crypto1(共模攻击
最新发布
2302_80322812的博客
04-13 670
根据扩展欧几里德算法,对于不完全为 0 的整数 a,b,gcd(a,b)表示 a,b 的最大公约数。=((m^(e1*s1)*(m^(e2*s2))%n //幂的乘方,底数不变,指数相乘。=(m^(e1*s1+e2*s2))%n //同底数幂相乘,底数不变,指数相加。=((m^e1)^s1%n*(m^e2)^s2%n)%n //消掉%n。因为c1 = m^e1%n,c2 = m^e2%n,需要证明m=(c1^s1*c2^s2)%n。又因为m<n,所以(c1^s1*c2^s2)%n=m%n=m。
ctf入门RSA共模攻击
noj_h的博客
03-23 2127
RSA共模攻击 一.题目描述 假设有一条信息m,由两个不同的用户使用公钥进行RSA加密(两个用户的e一般不同,模数n一般相同) c1 = m^e1 mod n c2 = m^e2 mod n 得到了两个不同的密文c1,c2 因为公钥是公开的(e1,e2,n)已知 那么攻击者一共知道如下信息 gcd(e1, e2) = 1 m = c1^d1 mod n m = c2^d2 mod n 即通过以上信息求解出明文m 该题目题干为: #coding:utf-8 import gmpy2 import libnu
CTF——针对RSA共模攻击
baidu_36110484的博客
06-25 3162
0x00 背景 在今年的5space比赛中做到一道比较简单的RSA题。由于没怎么接触过crypto的题目(别的题都好难,做不出来呀233),在这里写一下解法,顺便记录一下有关RSA共模攻击的知识。 那么什么是共模攻击呢,大致就是我们可以获取到同一个明文m的经过两个公钥e1,e2加密的密文c1,c2,并且有c1=pow(m,e1,n);c2=pow(m,e2,n) 那么,若e1,e2互素,由扩展欧几里得算法,存在e1*s1+e2*s2==1。我们就可以求m≡m^(e1\*s1+e2\*s2)≡(m^e1)^s
CTF Crypto---RSA N不互素
3tefanie丶zhou的博客
07-03 1003
【别质疑,先相信。】
ctf学习RSA共模攻击
小飒的博客
09-16 795
e1和e2互质的情况下,由拓展欧几里得定理。已知n,c1,e1,c2,e2。根据这个原理来写解密脚本。
CTF-Crypto 出题思路与解题思路
Jang2023的博客
06-30 3847
ctf 夺旗赛解题思路 crypto密码学
CTF-RSA-tool 安装全过程
xuhc25的博客
01-22 2567
前提: 安装的机子可以连接外网 机子安装了python2.7 机子安装了pip 1、安装引导 Description CTF-RSA-tool 是一款基于python以及sage的小工具,助不熟悉RSACTFer在CTF比赛中快速解决RSA相关的 基本题型 。 Requirements requests gmpy2 pycrypto libnum sagemath(optional) Installation 安装libnum git clone https://github.com/hellman/li
CTF ——crypto ——RSA原理及各种题型总结
热门推荐
小锤队长的博客
09-23 6万+
RSA原理及各种题型总结 Table of Contents 一,原理: 信息传递的过程: rsa加密的过程: 二,CTF 中的 常见的十种类型: 1,已知 p ,q,e 求 d? 2,已知 n(比较小),e 求 d? 3,已知 公钥(n, e) 和 密文 c 求 明文 m? 4,已知密文文件 flag.enc / cipher.bin /flag.b64和 公钥文件 ...
asc量子计算机,[推荐][原创]CTF-RSA常见题型、思路及解法
weixin_33411250的博客
07-22 1285
RSA入门:写在前面:这篇文章是帮助对RSA不熟悉的朋友且需要较为快速、深入的了解RSA而写的不涉及非常晦涩难懂的数学知识和算法(不过最简单的原理说明还是有的)攻击方法也是最容易遇到的(RSA的进阶篇除外)并且所有的例题都是比较新的,甚至还有刚刚结束的比赛的题目基本原理:公钥与私钥的产生:(1)进行加密之前,首先找出2个不同的大质数p和q(2)计算n=p*q(3)根据欧拉函数,求得φ(n)=φ(p...
关于RSA共模攻击e1,e2不互素的解法
CHUNJIUJUN的博客
09-29 3179
最近做密码学rsa的题目,搜集了很多情况下的rsa解题脚本,记录一下 import gmpy2 import rsa from binascii import a2b_hex import libnum from Crypto.Util.number import long_to_bytes #--------------------------------------------------------------------------------------------------------
Crypto(10)BUUCTF-RSA3(共模攻击)
m0_66039322的博客
11-24 798
好奇一个问题,即共模攻击有什么现实意义?发现也没有什么现实意义,因为(n,e)是已知的,通常每个用户的n是不同的,除非特殊情况吧。
[NPUCTF2020]共 模 攻 击
shshss64的博客
10-23 1617
数学分析
Crypto_[NPUCTF2020]共 模 攻 击
M3ng@L的博客
11-21 3403
[NPUCTF2020]共 模 攻 击 题目描述: hint文件: from gmpy2 import * from Crypto.Util.number import * from secret import hint m = bytes_to_long(hint) p = getPrime(256) c = pow(m, 256, p) print(p) p, q = getPrime(256), getPrime(256) n = p * q e1, e2 = getPrime(32), getP
CTF Crypto---RSA NC不互素
3tefanie丶zhou的博客
07-03 1542
【很多事情,你不相信总能找得到理由,所以很多事情只要相信就好,不需要证明。】
RSA共模攻击
reforever的博客
03-17 4225
扩展的欧几里得算法 扩展的欧几里得算法不仅可以计算最大公约数d,而且还可以得到两个整数x,y 使得 ax+by = d = gcd(a, b)。有两个数a,b,对它们进行辗转相除法,可得它们的最大公约数。然后收集辗转相除法中产生的中间量,倒推可以得到ax+by=gcd(a,b)的整数解。这就是扩展的欧几里得算法 在说明之前先提出一个常识性的问题:两个数a,b的最大公约数d一定存在且唯一。 辗转相除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sciurdae

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值