[羊城杯 2020]RRRRRRRSA 题解(wiener attack运用)

最新推荐文章于 2023-05-05 22:01:10 发布
最新推荐文章于 2023-05-05 22:01:10 发布
阅读量3.4k 收藏 10
点赞数 1
分类专栏: Crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5555678744/article/details/117701126
版权

简介

自己写脚本搞定这道题有助于理解wiener attack,在多种关于RSA攻击方法中,这种方法算是比较难理解的一种,本题设计还是比较有意思的,算是该攻击方式的一个灵活运用,单纯依靠现成脚本也是不行的,必须学会wiener attack的原理才能顺利解决该问题。

原理阐述

wiener attack 是依靠连分数进行的攻击方式,适用于非常接近某一值(比如1)时,求一个比例关系,通过该比例关系再来反推关键信息就简单很多。这种攻击对于解密指数d很小时有很好的效果,一般的用法是通过
ed mod phi(N)=1

得到 ed=k*phi(N)+1

即 e/phi(N)=k/d+1/phi(N)
这种情况下phi(N)≈N,且phi(N)非常大
所以有 e/N - k/d = 1/phi(N),也就是说k/d与e/N非常接近,而e/N又是已知的
对e/N进行连分数展开,得到的一串分数的分母很有可能就是d(论文太难了,只能记结论了T_T),只要检验一下

ed mod phi(N)

看它是不是1就知道对不对了。

但是这道题倒是告诉我,wiener attack的利用并不一定是这样的方式,只要其他值符合类似的条件,也可以试着求出一个关键值。

另外注意:wiener attack使用是要满足一定数值条件的,对d和N的相对大小,以及p,q的相对大小都是有要求的,用之前可以先大概计算一下是否合适。(LaTaX公式编辑器不会用呀。。就不想把具体公式再打上来了)

题解

分析

先看看题干,明显可以发现加密指数e非常大,有经验就晓得这和wiener attack脱不了干系。
代码的逻辑也很好理解,先是把flag分成两部分(其实两部分加密方式是一样的),然后生成两个非常接近的大素数P1,P2,然后生成了两个相邻的较小的大素数,用P1的平方和Q1相乘得到N1,N2同理。用两个相近巨大的加密指数E加密。

import hashlib
import sympy
from Crypto.Util.number import *

flag = 'GWHT{************}'

flag1 = flag[:19].encode()
flag2 = flag[19:].encode()
assert(len(flag) == 38)

P1 = getPrime(1038)
P2 = sympy.nextprime(P1)
assert(P2 - P1 < 1000)

Q1 = getPrime(512)
Q2 = sympy.nextprime(Q1)

N1 = P1 * P1 * Q1
N2 = P2 * P2 * Q2

E1 = getPrime(1024)
E2 = sympy.nextprime(E1)

m1 = bytes_to_long(flag1)
m2 = bytes_to_long(flag2)

c1 = pow(m1, E1, N1)
c2 = pow(m2, E2, N2)


output = open('secret', 'w')
output.write('N1=' + str(N1) + '\n')
output.write('c1=' + str(c1) + '\n')
output.write('E1=' + str(E1) + '\n')
output.write('N2=' + str(N2) + '\n')
output.write('c2=' + str(c2) + '\n')
output.write('E2=' + str(E2) + '\n')
output.close()
'''
N1=60143104944034567859993561862949071559877219267755259679749062284763163484947626697494729046430386559610613113754453726683312513915610558734802079868190554644983911078936369464590301246394586190666760362763580192139772729890492729488892169933099057105842090125200369295070365451134781912223048179092058016446222199742919885472867511334714233086339832790286482634562102936600597781342756061479024744312357407750731307860842457299116947352106025529309727703385914891200109853084742321655388368371397596144557614128458065859276522963419738435137978069417053712567764148183279165963454266011754149684758060746773409666706463583389316772088889398359242197165140562147489286818190852679930372669254697353483887004105934649944725189954685412228899457155711301864163839538810653626724347
c1=55094296873556883585060020895253176070835143350249581136609315815308788255684072804968957510292559743192424646169207794748893753882418256401223641287546922358162629295622258913168323493447075410872354874300793298956869374606043622559405978242734950156459436487837698668489891733875650048466360950142617732135781244969524095348835624828008115829566644654403962285001724209210887446203934276651265377137788183939798543755386888532680013170540716736656670269251318800501517579803401154996881233025210176293554542024052540093890387437964747460765498713092018160196637928204190194154199389276666685436565665236397481709703644555328705818892269499380797044554054118656321389474821224725533693520856047736578402581854165941599254178019515615183102894716647680969742744705218868455450832
E1=125932919717342481428108392434488550259190856475011752106073050593074410065655587870702051419898088541590032209854048032649625269856337901048406066968337289491951404384300466543616578679539808215698754491076340386697518948419895268049696498272031094236309803803729823608854215226233796069683774155739820423103
N2=60143104944034567859993561862949071559877219267755259679749062284763163484947626697494729046430386559610613113754453726683312513915610558734802079868195633647431732875392121458684331843306730889424418620069322578265236351407591029338519809538995249896905137642342435659572917714183543305243715664380787797562011006398730320980994747939791561885622949912698246701769321430325902912003041678774440704056597862093530981040696872522868921139041247362592257285423948870944137019745161211585845927019259709501237550818918272189606436413992759328318871765171844153527424347985462767028135376552302463861324408178183842139330244906606776359050482977256728910278687996106152971028878653123533559760167711270265171441623056873903669918694259043580017081671349232051870716493557434517579121
c2=39328446140156257571484184713861319722905864197556720730852773059147902283123252767651430278357950872626778348596897711320942449693270603776870301102881405303651558719085454281142395652056217241751656631812580544180434349840236919765433122389116860827593711593732385562328255759509355298662361508611531972386995239908513273236239858854586845849686865360780290350287139092143587037396801704351692736985955152935601987758859759421886670907735120137698039900161327397951758852875291442188850946273771733011504922325622240838288097946309825051094566685479503461938502373520983684296658971700922069426788236476575236189040102848418547634290214175167767431475003216056701094275899211419979340802711684989710130215926526387138538819531199810841475218142606691152928236362534181622201347
E2=125932919717342481428108392434488550259190856475011752106073050593074410065655587870702051419898088541590032209854048032649625269856337901048406066968337289491951404384300466543616578679539808215698754491076340386697518948419895268049696498272031094236309803803729823608854215226233796069683774155739820425393
'''

但是和普通的wiener attack 不同的是,e与N并没有近到相除约为1的地步,相差还是很大的,也就是说解密指数d也许还是很大的,这样就解不出来。
这道题有意思的部分就在于,e和N的关系不符合利用条件,但是N1和N2的关系却适合
对于这一道题:
N1/N2=(P1/P2)**2 * (Q1/Q2)
显然我们可以知道的是N1/N2 <Q1/Q2
所以在Q1/Q2在区间(N1/N2,1)之间 (这是关键)
尝试对N1/N2进行连分数展开并求其各项渐进分数,其中某个连分数的分母可能就是Q1(这个可以依靠N%Q来验证)

算法实现

连分数生成

def continuedFra(x, y): #不断生成连分数的项
    cF = []
    while y:
        cF += [x // y]
        x, y = y, x % y
    return cF
def Simplify(ctnf): #化简
    numerator = 0
    denominator = 1
    for x in ctnf[::-1]: #注意这里是倒叙遍历
        numerator, denominator = denominator, x * denominator + numerator
    return (numerator, denominator) #把连分数分成分子和算出来的分母
def getit(c):
    cf=[]
    for i in range(1,len(c)):
        cf.append(Simplify(c[:i])) #各个阶段的连分数的分子和分母
    return cf #得到一串连分数

寻找合适的Q1

def wienerAttack(e, n):
    cf=continuedFra(e,n)
    for (Q2,Q1) in getit(cf):#遍历得到的连分数,令分子分母分别是Q2,Q1
        if Q1 == 0:
            continue
        if N1%Q1==0 and Q1!=1:#满足这个条件就找到了
            return Q1
    print('not find!')
Q1=wienerAttack(N1,N2)

最后的解密

找到Q1后顺势就可以求出所有其他参数

from Crypto.Util.number import *
P1=gmpy2.iroot(N1//Q1,2)[0]
P2=gmpy2.next_prime(P1)
Q2=gmpy2.next_prime(Q1)
phi1=P1*(P1-1)*(Q1-1)
phi2=P2*(P2-1)*(Q2-1)
d1=gmpy2.invert(E1,phi1)
d2=gmpy2.invert(E2,phi2)
m1=long_to_bytes(gmpy2.powmod(c1,d1,N1))
m2=long_to_bytes(gmpy2.powmod(c2,d2,N2))
print((m1+m2))

总结

这题中主要要学的就是wiener attack的原理,其实wiener attack并不是针对于解密指数的攻击方式,实际上,再低解密指数的情况下,任何比例非常接近另外一个已知比例的情况下都可以尝试用这个方法得到RSA中重要解密信息,不一定是d,也有可能是p或者q。

参考:羊城杯 Crypto RRRRRRRSA (连分数,低解密指数攻击原理)

mortal15
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
羊城 Crypto RRRRRRRSA (连分数,低解密指数攻击原理)
weixin_44110537的博客
09-13 3129
题面 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{************}' flag1 = flag[:19].encode() flag2 = flag[19:].encode() assert(len(flag) == 38) P1 = getPrime(1038) P2 = sympy.nextprime(P1) assert(P2 - P1 < 1000) Q1 = getPri
[羊城 2020]RRRRRRRSA
m0_57291352的博客
08-01 394
[羊城 2020]RRRRRRRSA 题目 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{************}' flag1 = flag[:19].encode() flag2 = flag[19:].encode() assert(len(flag) == 38) P1 = getPrime(1038) P2 = sympy.nextprime(P1) assert(P2 - P1 &lt
Wiener Attack
zhn的博客
10-25 297
Wiener Attack
2021第三届传智决赛全题解
12-24
【传智】是针对IT技术的竞赛,2021年的第三届传智决赛包含了多个编程题目。这里我们分析其中三个题目。 **题目A** 是一个基础的交集问题,要求找出同时报名了课程A和课程B的学生数量。输入包括两门课程的学生...
Result_IOI2020Result_2020高教B题答案_
09-30
标题中的"Result_IOI2020Result_2020高教B题答案_"表明这是一份关于2020年国际信息学奥林匹克竞赛(IOI)的结果,特别是针对2020年高等教育比赛中的B题的答案。IOI是面向全球中学生的顶级编程竞赛,它考察参赛者...
程序设计协会第一届九韶题解 .pdf
04-11
标题中提到的“程序设计协会第一届九韶题解”指的是针对一项程序设计竞赛——九韶,对其第一届赛事的题目解答进行汇编的文档。九韶可能是一个地区性的或高校间组织的竞赛活动,类似于蓝桥等其他知名的程序...
2020CCPC网络赛题解.pdf
07-12
从提供的文件【标题】和【描述】来看,文档内容应该是一份关于2020年全国计算机系统能力挑战赛(China Collegiate Programming Contest, 简称CCPC)网络赛的题解资料。【标签】"CCPC 题解"进一步证实了这一点。 ...
2023 电工 B 题解题思路详细分析.zip
最新发布
05-25
从提供的文件名"2023 电工 B 题解题思路详细分析.zip"和"2023 电工 B 题解题思路详细分析.docx"来看,我们可以推测这是一个关于解答2023年电工竞赛B题的深入解析文档。这份文档很可能是由竞赛的专家或者参赛者...
rsa-wiener-attack:Wiener 针对小密钥的 RSA 攻击
05-31
rsa-wiener-attack Wiener 针对小密钥的 RSA 攻击
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
rsa-wiener-attack
火柴人的博客
07-13 778
RSA的d比较难求的时候,可以用这个方法求d Github脚本
RSA进阶之维纳攻击(wiener-attack )
weixin_30716141的博客
11-06 8469
维纳攻击: 场景:e很大 例题: 第七届山东网络安全技能大赛 链接:https://pan.baidu.com/s/1IRInw3pB7SQfp3MxRJW17A 提取码:lcn3 e很大,妥了,维纳攻击。 脚本在github上。 https://github.com/pablocelayes/rsa-wiener-attack 这个脚本用起来很简单,不过一开始我还是花了点时间。...
RSA维纳攻击
永远相信美好的事情即将发生
02-03 4435
适用情况 e过大或过小 在e过大或过小的情况下,可使用算法从e中快速推断出d的值。 原理 我不生产原理,我只是原理的搬运工 Wiener 表示如果满足: d<13n14d<\frac{1}{3}n^{\frac{1}{4} }d<31​n41​ 那么一种基于连分数(一个数论当中的问题)的特殊攻击类型就可以危害 RSA 的安全。此时需要满足: q<p<2q 如果满足上述条件,通过 Wiener Attack 可以在多项式时间中分解 n,思路如下: 回想一下 RSA: N =
Wiener’s attack python
weixin_30419799的博客
12-19 1249
题目如下: 在不分解n的前提下,求d。 给定: e = 14058695417015334071588010346586749790539913287499707802938898719199384604316115908373997739604466972535533733290829894940306314501336291780396644520926473 ...
BugkuCTF RSA(wiener's attack)
ProboxDu的博客
04-09 4411
首先这道题切入点很明显,e和n是同数量级的,也就说明d的范围会比较小。我们的攻击目标是就是d 1990年有人证明假如p大于 q而小于2q(这是一个很经常的情况)而 d&lt;13×N14d &lt; {\frac {1}{3}} \times N ^{{\frac{1}{4}}}d<31​×N41​,那么从 N和 e可以很有效地推算出 d。 参考自维基百科Wiener‘s...
RSA--维纳攻击--代码和题目分析
Emmaaaaa's blog
05-05 3923
核心连分数
密码学硬核笔记——扩展维纳攻击
Gm1y's Blog
11-17 5542
前言 这题遇到了Extending Wiener’s attack,因此写一篇博客来学习学习。
2021传智决赛编程题解:课程冲突与和谐对
"2021第三届传智决赛全题解" 这篇资料主要介绍了2021年第三届"传智"编程竞赛的决赛题目解析,其中包含了两个具体的编程题目——A-课程和B-序列。这两个题目都涉及到了基础的算法和数据处理。 A-课程问题是一个...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值