RSA总结:基本攻击手段与实际应用手法整理

已于 2024-05-07 09:05:15 修改
阅读量3.5k 收藏 36
点赞数 5
分类专栏: CTF 文章标签: RSA 信息安全 CTF 算法
于 2019-09-11 21:12:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1004070060/article/details/100739112
版权

前言:本文主要讲述RSA的加解密原理与基本过程,整理常见的RSA破解手段,以及如何将原理应用到CTF等相关赛事或实际工作中。通过阅读本文可以使初学者快速入门RSA,本文中的案例将提供注释详细的解密脚本,如有问题欢迎讨论交流!

0X01:RSA简介

关于RSA的介绍各种百科上都有不少,这里只做简单介绍。

RSA是一种非对称加密算法,是第一种能同时应用于数字签名和加密的算法。RSA的安全性依赖于对大整数做因式分解的困难性,从算量角度来说,一般认为对2048bit以上的整数做因式分解是难以实现的。而由于如今使用的公钥基本全部采用4096bit,因此RSA在今天仍是一种十分可靠的加密算法,在实际生产中得到了广泛应用。

0X02:数学知识引入

这里介绍基本的数学概念,其他算法将在介绍攻击手法时给出解释

一,互质数

公因数只有1的一组非零自然数称为互质数,例如 17,31  公因数只有1,为互质数

二,模逆元

任意三个整数a,b,N,如果满足 a*b mod N=1,则称b是a关于N的模逆元

如 3*7 mod 20 =1 则7为3对于20的模逆元,同样3也为7对于20的模逆元

三,欧拉函数

欧拉函数求的是小于某个数 n 并与 n 互质的数的个数

φ(n) = (p-1)(q-1)

0X03:RSA加解密过程

公钥与私钥生成

第一步:随机选择两个不相等的质数p和q。

例如 p=35,q=17

第二步:计算p和q的乘积n。

n = 35*17 = 595

第三步:计算n的欧拉函数φ(n)。

φ(n) = (p-1)(q-1) =34*16= 544

第四步:选择一个满足1< e < φ(n)的整数e,且e与φ(n) 互质。

例如:此处选择e=13

第五步:计算e对于φ(n)的模反元素d。

 e=13, φ(n)=544,13x + 544y = 1 算出一组整数解为 (x,y)=(293,-7),即 d=293。

第六步:(n,e)封装为公钥用于加密,(n,d)封装成私钥用于解密。

所以本例中 公钥为(595,13)  私钥为(595,293)

加密与解密公式

密文 c=m^e mod n

明文 m=c^d mod n

0X04:RSA在CTF赛事中的常见攻击手段的判断与使用

  • 提取n,e,c 的方法

1.对于题目直接给出文本文件的情况,一般直接打开就能获得公钥和密文信息,稍微绕点弯子的可能会将原数据进行编码(一般为base64或hex),解码后提取信息即可。

2.对于另一种给出 .pem文件(存储公钥信息)和 .enc文件(存储密文信息)的情况,可以使用 命令行工具openssl提取出公钥信息

常用命令:openssl rsa -pubin -text -modulus -in pubkey.pem

或者写脚本读出数据(个人比较推荐,因为方便对数据做后续处理),python3代码描述如下

from Crypto.PublicKey import RSA

r=open('CTFquestion/RSA3/pubkey.pem').read()
pub=RSA.importKey(r)
#读取pem文件,获取n,e
n=pub.n
e=pub.e
#读取enc文件,获取c
flag_encode= open('CTFquestion/RSA3/flag.enc','rb').read()
c=int(flag_encode.hex(),16)
print("n:",n)
print("e:",e)
print("c:",c)

3.另外听说还有一种类型是给你一个流量包文件(pacp),需要拖进wireshark分析一下交互过程,由于本人在练习中还没有遇到过此类问题,因此不做过多赘述,感兴趣的朋友可以自行查阅资料。

  • 简单情况,直接分解N

适用情况:公钥中给定的 n 较小,可以直接对 n 分解因式推出 p q。

ps:对于分解因式推荐使用 yafu ,这是目前较为通用的一款因式分解工具,它会自动尝试连分数法,二次筛选法等各种数学分解方式,对于小于 512bit 的整数分解成功率极高

使用方法:命令行启动yafu后,输入factor(需要分解的整数)即可。

对于n过长的情况,新建一个文件p.txt,内容里写上n的值,最后面一定要换行。
然后运行命令为   yafu-x64 "factor(@)" -batchfile 1.txt

在获得了 p q之后,根据原理,算出n的欧拉函数φ(n)=(p-1)*(q-1),然后求φ(n)对n的模逆解出d,再根据密文和私钥(n,d)反推出明文。

例题https://dn.jarvisoj.com/challengefiles/mediumRSA.rar.07aab25c9c54464a8c9821ca28503330

本题拿到一组公钥证书和加密后的文件,用刚才介绍过的方法打开提取信息

对于简单情况,使用yafu分解得出p q

然后根据基本原理求解明文即可,本题完整解题脚本如下

from Crypto.PublicKey import RSA
import gmpy2
from Crypto.Util.number import long_to_bytes
r=open('CTFquestion/RSA3/pubkey.pem').read()
pub=RSA.importKey(r)
#读取pem文件,获取n,e
n=pub.n
e=pub.e
#读取enc文件,获取c
flag_encode= open('CTFquestion/RSA3/flag.enc','rb').read()
c=int(flag_encode.hex(),16)
#p,q由yafu解的
p=275127860351348928173285174381581152299
q=319576316814478949870590164193048041239
#求e对φ(n)的模逆
d=gmpy2.invert(e,(p-1)*(q-1))
print(long_to_bytes(pow(c,d,n)))

  • 低加密指数攻击

适用情况e 过小,一般来说 n,c都较大。

原理:根据公钥加密机制,密文c=m^e mod n。如果选取的 e 过小,加密指数过低,就会引发安全问题

如果 e 过小导致 m ^e < n,可以推出 c = m^e,此时直接对密文开e次方即可得出明文

对于 m^e > n,根据j加密公式变形得:m^e= k*n+c(k为正整数),由此,我们可以通过爆破k来获得m^e,之后再开根号即可获得明文

例题:https://dn.jarvisoj.com/challengefiles/extremelyhardRSA.rar.8782e822c895a2af3d8ba4ffbb3e280b

获取信息发现 n,c长的过分,e=3

爆破k脚本如下(大概需要运行5-10分钟)

from Crypto.PublicKey import RSA
import base64
import gmpy2
from Crypto.Util.number import *
r=open('../CTFquestion/RSA/pubkey.pem').read()
pub=RSA.importKey(r)
#读取pem文件,获取n,e
n=pub.n
e=pub.e
print("n:",pub.n)
print("e:",pub.e)
#读取enc文件,获取c
flag_encode= open('../CTFquestion/RSA/flag.enc','rb').read()
print("c:",int(flag_encode.hex(),16))
c=int(flag_encode.hex(),16)
k=1
#枚举开方结果,iroot方法为求某个数的某次方,返回(开方结果(int),能否开整数次方(bool))
while 1:
    m,f=gmpy2.iroot(n*k+c,e)
    k+=1
    if f:
        print(m)
        print(long_to_bytes(str(m)))

  • 低加密指数广播攻击

适用情况:e很小,给出多组 n 和 c相对应的情况

原理:根据已有信息可列方程组

c1 = m^e mod n1
c2 = m^e mod n2

c3 = m^e mod n3

则可在满足 n1,n2,n3两两互质的前提下引入中国剩余定理(孙子定理)求解 m^e,关于中国剩余定理,以下内容摘自百度百科

中国剩余定理给出了以下的一元线性同余方程组:

一般攻击方法:

设共有 i 组方程

  1. 计算出M:所有n的乘积

  2. 对于每一个ni计算出mi:mi=M/ni

  3. 计算每一个mi对ni的模逆ti:ti*mi % ni=1   (a,ti,k=gmpy2.gcdext(mi,ni))

  4. 计算每一个mi*ti*ci的值,累加起来对M取模得到m^e

  5. 开e次方得到明文m

例题暂鸽,原来做的题找不到了,以后找到了再补

  • 低解密指数攻击(Wiener attack)

适用情况:e很大,一般n,c也很大,难以分解

原理:与低加密指数攻击类似,由于d 是 e对 φ(n) 的模反元素,因此 e 如果过大势必会引起 d 过小,即解密所用指数过小,同样会引发安全问题。类似的体型涉及连分数展开和渐进方程计算,感兴趣的朋友可以自行查阅,由于证明过程过于繁琐就不做过多展开。下面只介绍通过Wiener Attack可以在多项式时间中分解n的方法。

例题:https://ctf.bugku.com/files/98e8f374f63ee3ef4818621ceafcb78f/rsa.txt

解法1:用工具!

RsaCtfTool是专为CTFer开发的一款RSA攻击软件,Kali下安装可参考此文Ubuntu下RsaCtfTool的安装及使用 - FreeBuf网络安全行业门户

RsaCtfTool内部捆绑了Wiener attack的相关插件,使用方法及主要命令如下

之后即可获得p,q

解法2:写脚本!(用到连分数展开算法和渐进分数算法)

from Crypto.Util.number import long_to_bytes
e=354611102441307572056572181827925899198345350228753730931089393275463916544456626894245415096107834465778409532373187125318554614722599301791528916212839368121066035541008808261534500586023652767712271625785204280964688004680328300124849680477105302519377370092578107827116821391826210972320377614967547827619
n=460657813884289609896372056585544172485318117026246263899744329237492701820627219556007788200590119136173895989001382151536006853823326382892363143604314518686388786002989248800814861248595075326277099645338694977097459168530898776007293695728101976069423971696524237755227187061418202849911479124793990722597
c=38230991316229399651823567590692301060044620412191737764632384680546256228451518238842965221394711848337832459443844446889468362154188214840736744657885858943810177675871991111466653158257191139605699916347308294995664530280816850482740530602254559123759121106338359220242637775919026933563326069449424391192

#连分数展开算法
def lf(x,y):
    arr=[]
    while y:
        arr+=[x//y]
        x,y=y,x%y
    return arr

def jj(k):
    x=0
    y=1
    for i in k[::-1]:
        x,y=y,x+i*y
    return (y,x)
data=lf(e,n)
for x in range(1,len(data)+1):
    data1=data[:x]
    d = jj(data1)[1]
    print(long_to_bytes(str(pow(c,d,n))))

将算出的结果复制到txt里搜索一下flag即可

  • 共模攻击

适用情况:多组密文使用同一个模数n加密的情况,不同e之间两两互质

原理

首先介绍扩展欧几里得算法:

 我们知道给予二整数 a 与 b, 必存在有整数 x 与 y 使得ax + by = gcd(a,b)。若在计算最大公约数过程中使用辗转相除法并收集辗转相除法中产生的式子,倒回去,可以得到ax+by=gcd(a,b)的整数解。

实现代码

def ext_euclid(a, b):
    if b == 0:
        return 1, 0, a
    else:
        x, y, q = ext_euclid(b, a % b)
        # q = gcd(a, b) = gcd(b, a%b)
        x, y = y, (x - (a // b) * y)
        return x, y, q

共模攻击可行性推导过程:

根据贝祖公式:e1*s1+e2*s2 = 1 (s1 s2 为一正一负的整数)
由于:c1 = m^e1%n c2 = m^e2%n
∴(c1^s1*c2^s2)%n = ((m^e1%n)^s1*(m^e2%n)^s2)%n
∴(c1^s1*c2^s2)%n = ((m^e1%n)^s1*(m^e2%n)^s2)%n (c1^s1*c2^s2)%n = ((m^e1)^s1*(m^e2)^s2)%n
∴(c1^s1*c2^s2)%n = (m^(e1^s1+e2^s2))%n

∵e1*s1+e2*s2 = 1
∴(c1^s1*c2^s2)%n = (m^(1))%n (c1^s1*c2^s2)%n = m^%n
c1^s1*c2^s2 = m

基本攻击手法:

根据扩展欧几里得算法,给定e1,e2,求解出s1,s2,然后根据推导得出的公式计算m

例题https://dn.jarvisoj.com/challengefiles/veryhardRSA.rar.2a89300bd46d028a14e2b5752733fe98

第一步,从给出的py文件中获得到N和两个互质的e

第二步,提取c1,c2,编写脚本使用扩展欧几里得算法求解m。需要注意的是,在数论模运算中,要求一个数的负数次幂,与常规方法并不一样。 比如此处要求c2的s2次幂,就要先计算c2的模反元素c2r,然后求c2r的-s2次幂。完整代码如下

from Crypto.PublicKey import RSA
import gmpy2
from Crypto.Util.number import long_to_bytes
#扩展欧几里得算法
def ext_euclid(a, b):
    if b == 0:
        return 1, 0, a
    else:
        x, y, q = ext_euclid(b, a % b)
        # q = gcd(a, b) = gcd(b, a%b)
        x, y = y, (x - (a // b) * y)
        return x, y, q
n=1#n过长,贴代码超长了,使用的时候用你的N替换
e1=17
e2=65537
flag_encode= open('CTFquestion/RSA4/flag.enc1','rb').read()
c1=int(flag_encode.hex(),16)
flag_encode= open('CTFquestion/RSA4/flag.enc2','rb').read()
c2=int(flag_encode.hex(),16)
print("c1:",c1)
print("c2:",c2)
s1=ext_euclid(e1,e2)[0]
s2=ext_euclid(e1,e2)[1]
if s1<0:
    s1=-s1
    c1=gmpy2.invert(c1,n)
if s2<0:
    s2=-s2
    c2=gmpy2.invert(c2,n)
m=long_to_bytes(str(pow(c1,s1,n)*pow(c2,s2,n)%n))
print(m)

  • 类RSA加密,Rabin算法

适用情况:e=2,有可能是Rabin算法

原理:Rabin也是一种非对称加密算法,与RSA依赖大整数分解的复杂性不同的是,Rabin算法的可靠性是建立在计算模合数平方根困难性上,关于Rabin算法的详细解释摘自这位大佬的博文https://www.cnblogs.com/iptables/p/5598049.html

破解方式:Rabin在处理过程中与RSA有诸多相似之处,比如二者都会用到中国剩余定理和扩展欧几里得算法,特别是二者公钥结构十分相似,所以经常伪装成RSA出现,大部分情况下,如果看到e=2,可以首先怀疑是Rabin算法。破解密文只需要按照解密公式推出yp,yq,mp,mq,再根据公式求解m组即可(Rabin求解结果是一个四元组,在日常生活中解码还需要额外参数,但是在CTF中对于四个结果每一个尝试一下即可)

例题:https://dn.jarvisoj.com/challengefiles/hardRSA.rar.b498edae4e73af8eb4567fb18117de46

直接上代码

from Crypto.PublicKey import RSA
#扩展欧几里得算法 ax+by=gcd(a,b)  传入a、b,返回x,y以及gcd(a,b)
def ext_euclid(a, b):
    if b == 0:
        return 1, 0, a
    else:
        x, y, q = ext_euclid(b, a % b)
        # q = gcd(a, b) = gcd(b, a%b)
        x, y = y, (x - (a // b) * y)
        return x, y, q
r=open('../CTFquestion/RSA2/pubkey.pem').read()
pub=RSA.importKey(r)
#读取pem文件,获取n,e
n=pub.n
e=pub.e
#读取enc文件,获取c
flag_encode= open('../CTFquestion/RSA2/flag.enc','rb').read()
c=int(flag_encode.hex(),16)
#p,q通过yafu分解得到
p=int(275127860351348928173285174381581152299)
q=int(319576316814478949870590164193048041239)
yp,yq,k=ext_euclid(p,q)
mp=pow(c,(p+1)//4,p)
mq=pow(c,(q+1)//4,q)
r1=(yp*p*mq+yq*q*mp)%n
r2=n-int(r1)
r3=(yp*p*mq-yq*q*mp)%n
r4=n-int(r3)

print(hex(r1))
print(hex(r2))
print(hex(r3))
print(hex(r4))
for i in (r1,r2,r3,r4):
    s = '%x' % i
    if len(s) % 2 != 0:
        s = '0' + s
    # print(long_to_bytes(int(s,16)))
    print(str(bytearray.fromhex(s)))

Void&Exists
关注
  • 5
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
RSA主要攻击方法
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
07-28 1912
最直接的攻击方法是分解n得到p,q,进而基于e计算d,随着计算机运算能力的不断提高,通过2次筛法已能分解180多位的十进制素数,增加p,q的长度已成为许多安全应用系统的加密要求。B验证的过程为B用A的公钥{e,n}对s签名进行验证,即m′≡se(modn),若m′=m,则签名正确。若A将签名信息传送给B,A签名的过程为A用自己的私钥{d,n}对信息m进行签名,即s≡md(modn),为签名,并将s和消息m联合1起送给用户B,s可以置于m的前面或后面。...
密码学实验-RSA算法的几种攻击方法的实现
weixin_52111404的博客
09-22 2006
密码学实验
RSA基本原理及常见攻击方法
qq_33163046的博客
06-15 1万+
RSA原理,RSA常见攻击方法,x509证书中提取N和e
渗透实战-网站登陆接口账号爆破之RSA加密
最新发布
Dreambooks的博客
08-01 601
在某次项目中准备对登陆页面进行爆破,发现请求包做了加密处理,无法使用常规方式进行爆破,随后还原了加密逻辑,编写脚本实现账户爆破。 现在越来越多的站点对数据传输做了加密处理,让攻击者无法轻易的抓包重放,可以在一定程度上起到安全作用,对特殊敏感字段进行加密处理,例如password等,使常用工具无法轻易暴力破解及自动化。
渗透测试之突破RSA加密进行暴力破解
2301_80115097的博客
10-17 522
渗透测试过程中,在遇到登陆界面的时候,第一想到的就是爆破。如果系统在传输数据时没有任何加密,没有使用验证码时,还有很大机会爆破成功呢。但是如果使用了验证码切用户名或密码被js加密时,该如何爆破呢?通常使用的方法:简单的验证码,可以通过python库进行识别;加密的数据,往往会通过审计加密方法,然后进行重新计算后,再进行爆破。个人项目经历,在某国企单位驻场渗透时,经常发现以下情况的站点:1、 登陆界面password数据通过js加密;2、 使用验证码,但大多数系统的验证码可以重复利用。
关联爆破-RSA分解
weixin_52640415的博客
04-27 2137
RSA 爆破p,q
RSA之共模攻击与共享素数
Aiwin的博客
06-07 5222
RSA之共模攻击与共享素数的原理和ctf例题
RSA 常见攻击方法
热门推荐
4ct10n
04-22 1万+
0x01 RSA简介 那么,有无可能在已知n和e的情况下,推导出d? 首先要知道   (1)ed≡1 (mod φ(n))。只有知道e和φ(n),才能算出d。   (2)φ(n)=(p-1)(q-1)。只有知道p和q,才能算出φ(n)。   (3)n=pq。只有将n因数分解,才能算出p和q。 结论:如果n可以被因数分解,d就可以算出,也就意
RSA攻击方法整理
九层台
10-20 1万+
RSA算法简述 ① 选两个保密的大素数p和q。 ② 计算n=p×q,φ(n)=(p-1)(q-1),其中φ(n)是n的欧拉函数值。 ③ 选一整数e,满足1&amp;lt;e&amp;lt;φ(n),且gcd(φ(n),e)=1。 ④ 计算d,满足d·e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因e与φ(n)互素,由模运算可知,它的乘法逆元一定存在。 ⑤ 以{e,n}为公开钥,{d,n}为秘密钥。 ...
RSA常见攻击方式(西电网信密码学大作业)
qq_56406979的博客
03-04 1440
RSA常见攻击
RSA加密算法及一般攻击方式
Mr.DImple的博客
07-24 1万+
RSA算法 RSA公钥加密算法RSA公钥加密算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。1987年7月首次在美国公布,当时他们三人都在麻省理工学院工作实习。RSA就是他们三人姓氏开头字母拼在一起组成的。 RSA是目前最有影响力和最常用的公钥加密算法,它能够抵抗到目前为止已知的绝大多数...
RSA过程总结
01-08
一共有6个数字:p,q,n,o(n),e,d p:质数  q:质数 n:模   特性:p*q=n,n的长度为密钥的长度 第一步:计算n的欧拉函数o(n)=(p-1)*(q-1) 第二步:随机选取一个数e,要求 1<e<o(n),且e和o(n)为互质数(即两个只有一个公因子,该公因子就是为1) 第三步:计算e对于o(n)的模反元素d(模反元素可能不止一个,模反元素特性:如果两个正整数a和n互质,那么一定可以找到1个或者n个整数b,使得 ((a*b)-1)%n=0,即(a*b)-1能整除n) 最终:n和e封装成公钥,d和e封装成私钥 加密的原理: 发送加密信息m必须小于n 加密过程E(m)=(m^
Delphi(delphi7-XE)标准RSA加密,解密,签名.与C,Java,php等通用
09-06
7. 实际应用示例: 在实际项目中,你可能需要将Delphi程序与Java Web服务进行交互,此时,Delphi客户端可以使用RSA公钥加密敏感数据,然后发送给Java服务器。服务器端使用私钥解密数据,确保数据在传输过程中不被...
webpack实战:某网站RSA登录加密逆向分析
吴秋霖的博客
09-12 8149
某网站登录RSA加密,深度分析webpack代码并构建完整的加密webpack代码!
RSA完整加密流程总结
坤小的专栏
10-21 1万+
RSA完整加密流程总结 1.1-RSA加密介绍 1.RSA公钥加密算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。1987年7月首次在美国公布,当时他们三人都在麻省理工学院工作实习。RSA就是他们三人姓氏开头字母拼在一起组成的。 2.RSA是目前最有影响力和最常用的公钥加密算法,它...
证书与签名(三):RSA非对称式加解密算法
MachineEye
04-23 6108
前言  OpenSSL提供了完整的安全通信所需的编码工具,诸如杂凑演算法(哈希算法),加解密演算法(加密/解密算法)及SSL / TLS协议的实现等。加上其开放源码的特性,使得许多开源专案或商业套件都有其踪迹.OpenSSL除了提供程式API扩充接口外,也有命令列模式的操作。     本专案主要使用C程式语言撰写,于Windows / Linux / BSD / MacOS下皆可运行。
RSA破解
kusirp21的博客
12-16 4498
RSA破解RSA基础理论RSA算法原理RSA算法的安全提示RSA破解方法因素分解法欧拉函数求解 RSA基础理论 RSA是MIT的三名研究员罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)在1977年提示的非对称加密算法,该算法被其三个名字首字母冠名。 RSA算法原理 RSA非对称加密是根据数论,使用两个较大的素数,通过指数运行进行的一种信息处理方法。使用公钥将明文进行指数运算,处理成密文为加密过程;使用私钥将密文处理成明文的运行
关于rsa总结1
a3uRa的一个窝
04-14 432
  ctf中的crypto项,关于rsa的考察是一类,来记录一下吧   首先介绍一下什么是公开密钥加密:公开密钥加密(英语:Public-key cryptography),也称为非对称加密(英语:asymmetric cryptography),是密码学的一种算法,它需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密的时候,另一个则用作解密。使用其中一个密钥把明文加密后所得的密文,只...
RSA正确性证明以及RSA主要的攻击手段
05-30
RSA正确性证明: RSA算法的正确性基于数论中的两个重要结论:欧拉定理和费马小定理。 欧拉定理:对于任何正整数a、n,如果a和n互质,那么a的欧拉函数φ(n)满足a^φ(n)≡1(mod n)。 费马小定理:对于任何素数p和任何整数a,a^(p-1) ≡ 1 (mod p)。 RSA算法的正确性可以通过以下步骤进行证明: 1. 选择两个大素数p和q,并计算它们的乘积n=p*q。 2. 计算n的欧拉函数φ(n)=(p-1)*(q-1)。 3. 找到一个整数e,使得e与φ(n)互质,即gcd(e,φ(n))=1。 4. 计算e的模反元素d,使得e*d ≡ 1 (mod φ(n))。 5. 公钥为(n,e),私钥为(n,d)。 加密过程:将明文m进行加密,得到密文c:c ≡ m^e (mod n)。 解密过程:将密文c进行解密,得到明文m:m ≡ c^d (mod n)。 正确性证明:根据费马小定理,c^d ≡ (m^e)^d ≡ m^(e*d) ≡ m^(k*φ(n)+1) ≡ m * m^(k*φ(n)) (mod n),其中k为任意整数。由于m和n互质,因此根据欧拉定理得到m^φ(n) ≡ 1 (mod n),所以m^(k*φ(n)) ≡ 1 (mod n)。因此,c^d ≡ m (mod n),即RSA算法是正确的。 RSA主要的攻击手段: 1. 小质数攻击:如果使用的素数p或q太小,攻击者可以通过分解n来获得私钥。因此,RSA算法要求使用足够大的素数。 2. 常模攻击攻击者可以通过分析加密后密文的模数n来获得私钥信息。为了防止此类攻击RSA算法需要对明文进行填充。 3. 选择明文攻击:如果加密过程中使用相同的明文加密多次,攻击者可以通过观察密文之间的差异来获得私钥。为了防止此类攻击RSA算法需要使用随机填充和随机数。 4. 时间攻击攻击者可以通过观察加密或解密过程中的时间来破解私钥。为了防止此类攻击RSA算法需要使用恒定时间算法
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值