RSA中的共模攻击和例题讲解

最新推荐文章于 2023-10-30 09:30:00 发布
最新推荐文章于 2023-10-30 09:30:00 发布
阅读量472 收藏 1
点赞数 2
分类专栏: Crypto 文章标签: 网络安全 密码学 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShangYaoPaiGu/article/details/128671141
版权

0x01 利用条件

​ 两个用户使用相同的模数 n、不同的私钥(加密指数e不相同)时,加密同一明文m消息,即(n,m)相同,(c,e)不同。且两个加密指数 e 1 e_1 e1 e 2 e_2 e2满足 g c d ( e 1 , e 2 ) = 1 gcd(e_1, e_2) = 1 gcd(e1,e2)=1,即 e 1 e_1 e1 e 2 e_2 e2互为素数

0x02 攻击原理

已知 e 1 e_1 e1, e 2 e_2 e2,且 g c d ( e 1 , e 2 ) = 1 gcd(e_1, e_2) = 1 gcd(e1,e2)=1, 由扩展欧几里得算法得,存在一组整数 s 1 s_1 s1, s 2 s_2 s2,使得:公式(1)
e 1 × s 1 + e 2 × s 2 = g c d ( e 1 , e 2 ) = 1 e_1 \times s_1 + e_2 \times s_2 = gcd(e_1, e_2) = 1 e1×s1+e2×s2=gcd(e1,e2)=1
又由RSA算法原理可得:公式(2)
{ c 1 ≡ m e 1   (   m o d   n ) c 2 ≡ m e 2   (   m o d   n ) \begin{cases} c_1 \equiv m^{e_1}\ (\bmod n)\\\\ c_2 \equiv m^{e_2}\ (\bmod n) \end{cases} c1me1 (modn)c2me2 (modn)

求m的方法一:

由以上(1)(2)可得:
m ≡ m 1   (   m o d   n ) ≡ m e 1 × s 1 + e 2 × s 2   (   m o d   n ) ≡ m e 1 × s 1 × m e 2 × s 2   (   m o d   n ) ≡ [ ( m e 1 ) s 1   (   m o d   n ) ] × [ ( m e 2 ) s 2   (   m o d   n ) ] ≡ c 1 s 1   (   m o d   n ) × c 2 s 2   (   m o d   n ) \begin{align*} m &\equiv m^1\ (\bmod n)\\\\ &\equiv m^{e_1 \times s_1 + e_2 \times s_2}\ (\bmod n)\\\\ &\equiv m^{e_1 \times s_1} \times m^{e_2 \times s_2}\ (\bmod n)\\\\ &\equiv [(m^{e_1})^{s_1}\ (\bmod n)]\times [(m^{e_2})^{s_2}\ (\bmod n)]\\\\ &\equiv c_1^{s_1}\ (\bmod n) \times c_2^{s_2}\ (\bmod n) \end{align*} mm1 (modn)me1×s1+e2×s2 (modn)me1×s1×me2×s2 (modn)[(me1)s1 (modn)]×[(me2)s2 (modn)]c1s1 (modn)×c2s2 (modn)
由于 c 1 , c 2 , s 1 , s 2 c_1,c_2,s_1,s_2 c1,c2,s1,s2都是已知的,所以可求出m的值。

即:公式(3)
m ≡ c 1 s 1   (   m o d   n ) × c 2 s 2   (   m o d   n ) m \equiv c_1^{s_1}\ (\bmod n) \times c_2^{s_2}\ (\bmod n) mc1s1 (modn)×c2s2 (modn)

求m的方法二:

或者由(1)(2)可得:
c 1 s 1 c 2 s 2 ≡ m s 1 e 1 m s 2 e 2   (   m o d   n ) ≡ m ( s 1 e 1 + s 2 e 2 )   (   m o d   n ) ≡ m   (   m o d   n ) \begin{align*} c_{1}^{s_1}c_{2}^{s_2} &\equiv m^{s_1e_1}m^{s_2e_2}\ (\bmod n)\\\\ &\equiv m^{(s_1e_1+s_2e_2)}\ (\bmod n)\\\\ &\equiv m\ (\bmod n) \end{align*} c1s1c2s2ms1e1ms2e2 (modn)m(s1e1+s2e2) (modn)m (modn)

即:公式(4)
c 1 s 1 c 2 s 2 ≡ m   (   m o d   n ) c_{1}^{s_1}c_{2}^{s_2} \equiv m\ (\bmod n) c1s1c2s2m (modn)

中间还有两个地方需要注意一下。

一是 s 1 s_1 s1, s 2 s_2 s2的值有一个为负值,在数论中,求一个数 a a a n n n − m -m m次幂,等于这个数 a a a n n n逆元的 m m m次幂。

即有公式(5)
n − m ≡ ( n − 1 ) m   (   m o d   n ) n^{-m} \equiv (n^{-1})^m\ (\bmod n) nm(n1)m (modn)

0x03 例题分析-1

题目代码如下:

题目已在青少年CTF训练平台上架:

https://www.qsnctf.com/challenges#actually_ezrsa2-316

import gmpy2
from Crypto.Util.number import *
import uuid
flag = b"flag{"+str(uuid.uuid4()).encode()+b"}"
m = bytes_to_long(flag)
p = getStrongPrime(1024)
q = getStrongPrime(1024)
n1 = p * q
n2 = p * q
e1 = 2333
e2 = 0x2333
assert GCD(e1,e2)==1
c1 = pow(m, e1, n1)
c2 = pow(m, e2, n2)
print("n1 =",n1)
print("n2 =",n2)
print("e1 =",e1)
print("e2 =",e2)
print("c1 =",c1)
print("c2 =",c2)
'''
n1 = 25977434245383213061502496098095465491298593274819892066680142309644604447122213990193649136640792045616043244452359563096681308111786639428720577613208873073208345373399185801097504934529486981943138422062519093084571490989920108900165063768027454172383479340269594705161727160665663784155005546900956290823300194993982080817820176683256899248006819975050544361436011973694569861482116060287819754562815300267132104496249550156359417476864266926873511338883992689905817979797654219916643111997131400074229578490338679081091020589498111095229814729232804557730207461328006855958086611451644501518923369121332282446387
n2 = 25977434245383213061502496098095465491298593274819892066680142309644604447122213990193649136640792045616043244452359563096681308111786639428720577613208873073208345373399185801097504934529486981943138422062519093084571490989920108900165063768027454172383479340269594705161727160665663784155005546900956290823300194993982080817820176683256899248006819975050544361436011973694569861482116060287819754562815300267132104496249550156359417476864266926873511338883992689905817979797654219916643111997131400074229578490338679081091020589498111095229814729232804557730207461328006855958086611451644501518923369121332282446387
e1 = 2333
e2 = 0x2333
c1 = 18485676710986119075173536683686462950263457469331993885761169971214128938032438063231897522845618680375729397028835700363169782372594587099048372908212345790811034629235715272689844039455428850999889426940076877552005174718119690829981655533087526118363975468542716361201641751206611729446725223668335826884543868459078761494737060952796969364730619523110915396112202826020259561117145528032775008508084399606014601141698178821709270288546823847725591199659655029049623145505102599794072348396882393484944750435097930829667964115769696899896453970102851438725866601300114175722160091587885920442620806302225997894178
c2 = 16695364664928581532800627548063845285532382094248770791332184106311111465138692453038543176627867352470844455051476759173301213222665138578557853047169090740483130873450630219045786462114849315733985964814297323071258057067338599104261584932140969238868725551762047861055560927674158814431522126509606052082877955899865835628409554581388612342235123760360863332450664084011638284740583896249409211202260177051437402683756328647008719984689105698475757077859180489424704827694801729848236720022267059771816763723353599632989669237797090397186374989429083807476909642056936466992945632706494532552043613399250805214165
'''

在利用扩展欧几里得算法之后,注意判断 s 1 s_1 s1 s 2 s_2 s2的正负情况,然后根据公式(4)或者公式(5)即可求得明文,解题代码如下:

import gmpy2
from Crypto.Util.number import *
n1 = 25977434245383213061502496098095465491298593274819892066680142309644604447122213990193649136640792045616043244452359563096681308111786639428720577613208873073208345373399185801097504934529486981943138422062519093084571490989920108900165063768027454172383479340269594705161727160665663784155005546900956290823300194993982080817820176683256899248006819975050544361436011973694569861482116060287819754562815300267132104496249550156359417476864266926873511338883992689905817979797654219916643111997131400074229578490338679081091020589498111095229814729232804557730207461328006855958086611451644501518923369121332282446387
n2 = 25977434245383213061502496098095465491298593274819892066680142309644604447122213990193649136640792045616043244452359563096681308111786639428720577613208873073208345373399185801097504934529486981943138422062519093084571490989920108900165063768027454172383479340269594705161727160665663784155005546900956290823300194993982080817820176683256899248006819975050544361436011973694569861482116060287819754562815300267132104496249550156359417476864266926873511338883992689905817979797654219916643111997131400074229578490338679081091020589498111095229814729232804557730207461328006855958086611451644501518923369121332282446387
e1 = 2333
e2 = 0x2333
c1 = 18485676710986119075173536683686462950263457469331993885761169971214128938032438063231897522845618680375729397028835700363169782372594587099048372908212345790811034629235715272689844039455428850999889426940076877552005174718119690829981655533087526118363975468542716361201641751206611729446725223668335826884543868459078761494737060952796969364730619523110915396112202826020259561117145528032775008508084399606014601141698178821709270288546823847725591199659655029049623145505102599794072348396882393484944750435097930829667964115769696899896453970102851438725866601300114175722160091587885920442620806302225997894178
c2 = 16695364664928581532800627548063845285532382094248770791332184106311111465138692453038543176627867352470844455051476759173301213222665138578557853047169090740483130873450630219045786462114849315733985964814297323071258057067338599104261584932140969238868725551762047861055560927674158814431522126509606052082877955899865835628409554581388612342235123760360863332450664084011638284740583896249409211202260177051437402683756328647008719984689105698475757077859180489424704827694801729848236720022267059771816763723353599632989669237797090397186374989429083807476909642056936466992945632706494532552043613399250805214165
'''区分s1和s2的正负'''
_, s1, s2 = gmpy2.gcdext(e1,e2)
if s1 < 0 :
    s1 = -s1
    c1 = gmpy2.invert(c1, n1)
if s2 < 0 :
    s2 = -s2
    c2 = gmpy2.invert(c2, n2)
'''带入公式(4)或公式(5)'''
m = pow(c1,s1,n2)*pow(c2,s2,n2) % n1
print(long_to_bytes(m))
'''输出:flag{d8f62d48-43fa-4939-ab70-56a16c577c62}'''

0x04 例题分析-2

题目描述:

{6266565720726907265997241358331585417095726146341989755538017122981360742813498401533594757088796536341941659691259323065631249,773}
{6266565720726907265997241358331585417095726146341989755538017122981360742813498401533594757088796536341941659691259323065631249,839}
message1=3453520592723443935451151545245025864232388871721682326408915024349804062041976702364728660682912396903968193981131553111537349
message2=5672818026816293344070119332536629619457163570036305296869053532293105379690793386019065754465292867769521736414170803238309535

可以看出两个公钥的 N 是一样的,并且两者的 e 互素。写一个脚本跑一下:

import gmpy2
n = 6266565720726907265997241358331585417095726146341989755538017122981360742813498401533594757088796536341941659691259323065631249
e1 = 773
e2 = 839
message1 = 3453520592723443935451151545245025864232388871721682326408915024349804062041976702364728660682912396903968193981131553111537349
message2 = 5672818026816293344070119332536629619457163570036305296869053532293105379690793386019065754465292867769521736414170803238309535
# s & t
gcd, s, t = gmpy2.gcdext(e1, e2)
if s < 0:
    s = -s
    message1 = gmpy2.invert(message1, n)
if t < 0:
    t = -t
    message2 = gmpy2.invert(message2, n)
plain = pow(message1, s, n) * pow(message2, t, n) % n
print(plain)

得到:

➜  python3 exp.py
1021089710312311910410111011910111610410511010710511610511511211111511510598108101125

这时候需要考虑当时明文是如何转化为这个数字了,一般来说是 16 进制转换,ASCII 字符转换,或者 Base64 解密。这个应该是 ASCII 字符转换,进而我们使用如下代码得到 flag

i = 0
flag = ""
plain = str(plain)
while i < len(plain):
    if plain[i] == '1':
        flag += chr(int(plain[i:i + 3]))
        i += 3
    else:
        flag += chr(int(plain[i:i + 2]))
        i += 2
print(flag)
'''输出:flag{whenwethinkitispossible}'''

这里之所以使用 1 来判断是否为三位长度,是因为 flag 一般都是明文字符,而 1 开头的长度为 1 或者 2 的数字,一般都是不可见字符。

q1jun
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-RSA攻击
rhyme1213的博客
03-03 735
RSA攻击原理和一道CTFRSA攻击例题
ctf入门RSA攻击
noj_h的博客
03-23 1908
RSA攻击 一.题目描述 假设有一条信息m,由两个不同的用户使用公钥进行RSA加密(两个用户的e一般不同,数n一般相同) c1 = m^e1 mod n c2 = m^e2 mod n 得到了两个不同的密文c1,c2 因为公钥是公开的(e1,e2,n)已知 那么攻击者一知道如下信息 gcd(e1, e2) = 1 m = c1^d1 mod n m = c2^d2 mod n 即通过以上信息求解出明文m 该题目题干为: #coding:utf-8 import gmpy2 import libnu
RSA攻击享素数
Aiwin的博客
06-07 3951
RSA攻击享素数的原理和ctf例题
[CTF密码学]RSA相关题目解题方法与python脚本总结(附例题
最新发布
WANGJUNAIJIAO的博客
10-30 3835
RSA是一种非对称加密体制 ,所谓非对称就是加密钥和解密钥不一样,要解决加解密相关问题,我们首先要弄清楚RSA加密解密流程用到了哪些东西:**明文 m:**就是待加密的文本啦,一般也就是我们的flag。**密文 C:**加密完成后的密文,一般题目会给你,我们要做的就是根据密文解密出明文。**公钥 e(加密钥):**用来加密的密钥,是一个整数,是公开的。RSA加密的关键部分,一般不会告诉你。我们选取两个大素数并计算它们的乘积,得到n=p*q。**后面会用p,q,n来加密解密。
RSA公钥密码总结
chlet的博客
03-11 8646
RSA公钥密码相关总结
rsa攻击_rsa攻击_pythonrsa_rsa攻击方式_rsapython_rsa_
09-29
rsa攻击的几种解密方式,包括e指数很小和很大的情况
密码学实验报告(RSA攻击\低指数攻击,椭圆曲线加密,DES实现)
05-03
用心写出来的实验报告,绝对原创。 文代码均可运行,仍有一定优化空间,仅供参考。 其实还有好多密码学资源,如果浏览评论的人多的话考虑再发出来。 欢迎大家指正错误。
rsa解密(已知nc1c2e1e2攻击)python3.py
01-03
rsa解密(已知nc1c2e1e2攻击)python3.py
RSA在C#和java的应用
01-21
RSA在C#和java的应用,通过公钥加密私钥解密,私钥加密公钥解密
RSA.rar_RSA加密解密和
09-21
RSA算法是最著名的公开密码体制。...其公开密钥和私人密钥是一对大素数的函数,从一个公开密钥和密文恢复出明文的难度等价于分解两个大素数之积。算法过程:首先是设计密钥,然后是对消息加密,最后是对密文解密。
【密码学RSA攻击原理详解_已知e1*e2的攻击
热门推荐
serendipity1130的博客
09-07 1万+
本题需要了解攻击推导过程及原理: 1.攻击原理 攻击即用两个及以上的公钥(n,e)来加密同一条信息m 已知有密文: c1 = pow(m, e1, n) c2 = pow(m, e2, n) 条件: 当e1,e2互质,则有gcd(e1,e2)=1 根据扩展欧几里德算法,对于不完全为 0 的整数 a,b,gcd(a,b)表示 a,b 的最大公约数。那么一定存在整数 x,y 使得 gcd(a,b)=ax+by 所以得到: e1*s1+e2*s2 = 1 因为e1和e2为正整数,所以s1、s2皆
RSA攻击(包括原理)
INK
05-08 8285
RSA攻击及原理
【ctf学习】RSA攻击
小飒的博客
09-16 540
e1和e2互质的情况下,由拓展欧几里得定理。已知n,c1,e1,c2,e2。根据这个原理来写解密脚本。
国剩余定理
qq_52193383的博客
08-12 644
国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其Mi’为Mimi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
rsa解码——攻击
rreally的博客
02-08 2440
gcd(e1,e2)=1 此时则有 e1s1+e2s2 = 1 式,s1、s2皆为整数,但是一正一负。 通过扩展欧几里德算法,我们可以得到该式子的一组解(s1,s2),假设s1为正数,s2为负数. 因为 c1 = m^e1%n c2 = m^e2%n 所以 (c1s1*c2s2)%n = ((me1%n)s1*(me2%n)s2)%n 根据运算性质,可以化简为 (c1s1*c2s2)%n = ((me1)s1*(me2)s2)%n 即 (c1s1*c2s2)%n = (m(e1s1+e2^s2))%n
RSA攻击
reforever的博客
03-17 4164
扩展的欧几里得算法 扩展的欧几里得算法不仅可以计算最大公约数d,而且还可以得到两个整数x,y 使得 ax+by = d = gcd(a, b)。有两个数a,b,对它们进行辗转相除法,可得它们的最大公约数。然后收集辗转相除法产生的间量,倒推可以得到ax+by=gcd(a,b)的整数解。这就是扩展的欧几里得算法 在说明之前先提出一个常识性的问题:两个数a,b的最大公约数d一定存在且唯一。 辗转相除...
RSA攻击 Python脚本
HeliantHuS` Blog
01-08 6819
最实用的RSA攻击Python实现.
RSA攻击数学原理
MikeCoke的博客
05-11 2243
To copy code without thinking is to play hooligan!!!!
rsa攻击python实现
05-25
下面是一个基于 Python 的 RSA 攻击实现: ```python from math import gcd from Crypto.Util.number import inverse def rsa_common_modulus_attack(c1, c2, e1, e2, n): """ RSA Common Modulus Attack ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值