5space signin(未知低位的dfs和coppersmith)

最新推荐文章于 2023-06-26 20:50:38 发布
最新推荐文章于 2023-06-26 20:50:38 发布
阅读量447 收藏 2
点赞数
分类专栏: Crypto 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5555678744/article/details/120461309
版权 
from Crypto.Util.number import*
c = 63488316931652165283768913693816254792896563414188573961010693330775143775030913217280890394659049814570506800869658798199766919279796699387348933980902437475407321186495972207055265266498997713893677789253948774459839170286422387924339017064620132596766605191433871936998603329570606903349148944177923042129
e = 65537
n = 96718802331928486399440471324839538140537235267473988763367174256395151407905179947160991624325793272001609865770400579479699246848732420404657206862379932460142346799183080432865152364837341193526953437531245191267443260742413602677075914430257485504145532873739572516607058139153045169040886155418058016911
x = 463242922872367824870065968430782963359186990291269168445088582686817098312265100478236517597115371129636612590922320350
p = [0]
q = [0]
maskx = 1
maskn = 2
for i in range(400):
    xbit = (x & maskx)>>i
    nbit = n % maskn
    tmpp = []
    tmpq = []
    for j in range(len(p)):
        for pbar in range(2):
            for qbar in range(2):
                if pbar^qbar ==xbit:
                    temp2 = n % maskn
                    temp1 = (pbar * maskn //2 + p[j]) * (qbar * maskn//2 + q[j]) % maskn
                    if temp1 == temp2:
                        tmpp.append( pbar * maskn // 2 + p[j])
                        tmpq.append( qbar * maskn // 2 + q[j])
    maskx *= 2
    maskn *= 2
    p = tmpp
    q = tmpq
    print(i,len(p))

这次来研究一下大佬的dfs代码。代码如上,可以自己先调试分析下。

题目的条件是已知p和q低400个二进制位的异或结果。这个条件其实不够强,简单来想的话,400个位异或结果知道了,每个位都有两种可能,400个位就有2**400种可能,遍历是不可能的。但是结合  n=p*q  ,设计算法其实可以较快得到精准的p和q的低400位。

下面来分析下算法:

该算法的基本思路是逐位根据条件得到可能的(p,q)对,每次更新p和q的表,更新的依据有两个:

step1:

if pbar^qbar ==xbit

 表示这个位符合题目给的异或结果

step2:

temp2 = n % maskn
temp1 = (pbar * maskn //2 + p[j]) * (qbar * maskn//2 + q[j]) % maskn
if temp1 == temp2:

 这一段先是构造在现有可能的 p 和 q 的前 j 位的前面接上通过第一层筛选的pbar和qbar,来测试这些位相乘得到的结果是不是与n相符,进而得到 j+1 位的情况下的可能的(p,q)对

重复step1,2  400次即可获得可能的(p,q) 的低400位的情况。

然后利用sage逐个带入求根(能求出来的那个就是本来的q,p):

N = n
pbits = 512
for i in range(len(p)):
    pbar = p[i]
    kbits = 514 - len(bin(pbar)) 
    R.<x> = Zmod(n)[]
    f = (pbar + x * 2 ** (512-kbits)).monic()
    rot = f.small_roots(X = 2^kbits,beta = 0.4)
    if rot:
        print(pbar + rot[0] * 2 ** (512-kbits))

得到p,q题就完事了。

mortal15
关注
专栏目录
从零开始学RSA:已知dp,dq求解m和CopperSmith定理攻击
weixin_44626085的博客
04-10 1425
sage是基于python开发,所以python的语法几乎对它完全适用,但是sage自己还开发出了很多语法格式和数学公式,学习难度还是不低的,所以我把这些脚本都当做了工具,拿来直接用,自己写出来似乎能力还不够,因为不光要学语法,关键是这里面的数学算法知识。什么叫m的高位呢,很简单,比如题目给你m=0x65c46754a7776c8b88867e000000000000000000 前面的部分就是高位,后面的0就是低位,0只是占位的作用并不是真正m的值。要求出完整的m的值。
Coppersmith-Winograd 算法
08-01 1955
转自:https://www.douban.com/group/topic/29658298/ 对正整数 $q$,定义张量 $T$,其对应的多项式为 $p(X,Y,Z)=\sum_{i=1}^q (X_0Y_iZ_i+X_iY_0Z_i+X_iY_iZ_0)$。对于 $\epsilon>0$,定义张量 $T(\epsilon)$,其对应的多项式为\begin{align}...
[Africa battleCTF 2023 prequal] CPR部分
最新发布
weixin_52640415的博客
06-26 1768
RSA roca_attack AES_CFB SROP
Widar2.0:SAGE算法SAGE算法在在无线信道参数估计中的应用
a_beatiful_knife的博客
05-12 9393
Widar2.0:SAGE算法SAGE算法在在无线信道参数估计中的应用C1 本文背景C2 SAGE算法C2.1 EM算法C2.2 SAGE算法C2.3 SAGE算法SAGE算法在在无线信道参数估计中的应用C2.3.1 模型C 2.3.2 模型中的完整数据空间和隐藏数据空间C 2.3.3 确定整体问题的最大化函数C 2.3.4 分解后的期望函数和最大化函数C 2.3.5 初始化C 3 后续打算 写在开头,我不知道其他复现Widar2.0的人有没有碰到我这样的问题,如果我不是个例,希望这篇文章能帮助大家少
第三届强网杯部分writeup
CTF小白的博客
05-29 6248
目录强网杯部分writeupWEB-强网先锋-上单CRYPTO-copperstudychallenge1challenge2challenge3challenge4challenge5challenge6获得flagCRYPTO-强网先锋-辅助MISC-签到 只能说自己是真的菜,一杯茶,一包烟,一个题目做一天,这里给出这次参加强网杯的解出来的题的writeup。 强网杯部分writeup WEB...
RSA攻击持续总结
cwr1499640048的博客
04-13 3381
RSA攻击持续总结 RSA算法描述 1、变量涉及 明文:m 密文:c 模数:n 大质数:p,q 欧拉函数值:r 密钥:d,e 2、算法流程 随机生成两个大质数p,q n=p*q r=(p-1)*(q-1) 求e:1<e<r 且 gcd(e,r)=1 求d:1<d<r 且 e*d mod r=1 加密过程:m<n c=pow(m,e,n) 即m的e次方 ...
快速矩阵乘法 strassen算法coppersmith-winograd算法
xzf_cellery的博客
02-07 3842
竹杖芒鞋轻胜马,一蓑烟雨任平生 首页 标签 分类 归档 关于 快速矩阵乘法 发表于 2016-07-19 | 分类于 算法 , 性能优化 | 0 | 阅读次数: 5055 矩阵乘法 矩阵乘法是高性能计算以及深度学习的基石之一,矩阵乘法的优化一直是相关业界的关注重点。 矩阵乘法的定义非常简单,定义见:wiki。 最简单的矩阵乘法实现 最简单的矩阵乘法实现,时间复杂度为O^3。 static void mm_generate(float* matA,float* matB,float* matC,cons
Lec5-Matrix-Multiplication-Coppersmith-Winograd-by-Anderson-Barman2009.pdf
12-04
Cook-Toom Algorithm and Modified Cook-Toom Algorithm Winograd Algorithm and Modified Winograd Algorithm Iterated Convolution Cyclic Convolution Design of Fast Convolution Algorithm by Inspection
PKCS1-v1_5填充算法不安全是因为会受Coppersmith攻击
05-05
是的,PKCS1-v1_5填充算法因为存在Coppersmith攻击而被认为不安全。Coppersmith攻击是一种基于低指数RSA密钥的攻击,攻击者可以通过该攻击获得RSA密钥的因子,从而破解该RSA密钥。而PKCS1-v1_5填充算法中使用的RSA...
MD5官方规范
11-08
Rivest还特别感谢了Don Coppersmith、Burt Kaliski、Ralph Merkle、David Chaum和Noam Nisan等人提供的宝贵意见和建议。 #### 八、结论 综上所述,MD5是一种重要的散列算法,在数字签名和其他加密领域有着广泛的...
快速矩阵乘法的算法实现
qq_42327795的博客
03-10 1万+
快速矩阵乘法
RSA中coppersmith定理的应用条件
M3ng@L的博客
03-20 1万+
coppersmith在已知p多少位二进制情况下才能生效,RSA高位攻击(已知p的高位,求解p的低位依次分解n),sagemath的small_roots()函数讲解
coppersmith算法_密码学学习笔记之Coppersmith’s Method (二)
weixin_30356837的博客
12-03 1738
The Full Coppersmith Method这里回顾一下example 2,即使以M^{1/6}来计算边界也应该是4.6左右,那为什么我们设X = 10最终也可以得到正确的结果呢?其实审视一下整个过程,我们最终的目的只是为了获得一组系数,最后规约出来的行向量也都做了相应的”去除X“处理,所以这里对X的取值其实并不是特别严格。其次,如果不取这个约来的边界M^{1/6}, 而是直接将d = ...
算法设计与分析之分治思想
wenhui12345的博客
11-05 2422
算法基础问题求解的关键建模:    对输入参数和解给出形式化或半形式化的描述 设计算法:    采用什么算法设计技术    正确性--是否对所有的实例都得到正确的解 分析算法--效率算法+数据结构=程序好的算法提高求解问题的效率 节省存储空间算法的研究目标问题->建模并寻找算法        算法设计技术 算法->算法的评价            算法分析方法 算法类-> 问题复杂度估计
Winograd算法
qingsong1001的专栏
12-26 1680
Winograd算法描述如下: 选择一个多项式,它的值要比大。然后,把它分解为k+1个互质的实系数多项式相乘,例如, 设。求解,得到。 计算出 和    ,这里,i=0,1,...,k 。 计算出   , 这里,i=0,1,...,k 。 通过使用,计算出。 完成。就是的乘积。 ...
Winograd算法 原理
koibiki的博客
10-12 1万+
1.fast convolution 原理:用非耗时运算操作(如加法)替代耗时运算操作(如乘法)达到减少算法时间度的。 例子:通过复数乘法减少乘法时间复杂度 假设: 将该乘法式表示为矩阵形式,其需要4个乘法和2个加法。将等式转变后变成3个乘法和5个加法 转变后的等式转变为矩阵形式,它的系数矩阵能够被分解为 2X3(C), 3X3(...
快速矩阵乘法的研究——下
jxt1234and2010的专栏
10-21 934
快速矩阵乘法的研究 本文我们只看一个算法,就是 Coppersmith 和 Winograd 提出的O(2.39)O(2.39)O(2.39)的矩阵乘法。请确保前两篇内容已经掌握理解。 https://blog.csdn.net/jxt1234and2010/article/details/88588208 https://blog.csdn.net/jxt1234and2010/article/...
[XNUCA2018]baby_crypto题解
热门推荐
a5555678744的博客
06-07 3万+
简介 本题是重合指数问题中经典问题,建议各位师傅能够独立写解密脚本 亲测,真的非常有帮助!! 废话也不多说了,解这题的方法稍有不同,与网上流传的wp有一定区别,对技术原理有兴趣的师傅一定不要错过。接下来,看题! 题解 题目给了个伪代码 The 26 letters a, b, c, ..., y, z correspond to the integers 0, 1, 2, ..., 25 len(key_a) = m len(key_k) = n c[i] = (p[i] * key_a[i % m] +
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值