[rsa]p+1光滑,已知高位攻击P

已于 2023-11-14 09:29:38 修改
阅读量228 收藏 1
点赞数
文章标签: python crypto rsa
于 2023-11-14 09:21:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amber_o0k/article/details/134390226
版权 
from random import randint
from gmpy2 import *
from Crypto.Util.number import *


m = bytes_to_long(b'flag{********************************}')

def getprime(bits):
    while 1:
        n = 1
        while n.bit_length() < bits:
            n *= next_prime(randint(1,1000))
        if isPrime(n - 1):
            return n - 1

p = getprime(512)
q = getprime(512)
n = p*q
e = 65537
d = invert(e,(p-1)*(q-1))
c = pow(m,e,n)

res = []
mod = []
[mod.append(getprime(128)) for i in range(12)]
[res.append(c%mod[i]) for i in range(12)]
print(n,(p>>128)<<128),mod,res)

'''
output:
3216831712236484919804716473942409526434016529181790011140718891645020999952523287950679312500771653918738887189899203815116997399422419456666136527466294225647700744715569996552708989626431982330367733125015062070399091789218760399060531383324158096784030850407432126491091299460659042468401054516052600467997
36691536769373164488130311421517753226870999465362409179446664596323017708216823951466573340643687346264018616414288774195411449434676147898363218552160256
[127358722814661886628344839530462144916373, 1569005233424413714924223862235964763229, 15953826944429720811716497916877126603181, 22667750449179799152236917772041505492557, 7259500259309895932387328648172298540473, 1216723397014858024629084355784570444737, 5803969258694833349275399163572927306963, 2847514965593473340352693322675908465517, 55965603506094486681210827499140188004581, 3758825246939161175629619499256754206153, 9865309015695677187200661453839724337633, 1985189335531812324455545509044214546841)]
[17514122934988110165886587218707943859589, 828023569353871016099054873610645592579, 3834965867062595899595546144451189629655, 5083410101797762407471893731877939884166, 6199590917760184276466050254032811548454, 208337506454727094683323122852921121527, 5210709327454808237359999225611588134922, 239093795148407379152016295908193630983, 29793049900271876372064873251244672365333, 1641943491807405218384351799880631607416, 1685895805013787734204509484411577153108, 1511298522529374764380482522275435302730)]
'''

solve1

n=3216831712236484919804716473942409526434016529181790011140718891645020999952523287950679312500771653918738887189899203815116997399422419456666136527466294225647700744715569996552708989626431982330367733125015062070399091789218760399060531383324158096784030850407432126491091299460659042468401054516052600467997
p4=36691536769373164488130311421517753226870999465362409179446664596323017708216823951466573340643687346264018616414288774195411449434676147898363218552160256#已知P的高位

pbits=p4.nbits()          #P原本的位数
kbits=128
print(pbits,n.nbits())

PR.<x> = PolynomialRing(Zmod(n))
f = x + p4
roots = f.small_roots(X=2^kbits,beta=0.4)
# 经过以上一些函数处理后,n和p已经被转化为10进制
print(roots)
if roots:
    p= p4 + int(roots[0])
    q=n//p
    assert p*q==n

mod = [127358722814661886628344839530462144916373, 1569005233424413714924223862235964763229, 15953826944429720811716497916877126603181, 22667750449179799152236917772041505492557, 7259500259309895932387328648172298540473, 1216723397014858024629084355784570444737, 5803969258694833349275399163572927306963, 2847514965593473340352693322675908465517, 55965603506094486681210827499140188004581, 3758825246939161175629619499256754206153, 9865309015695677187200661453839724337633, 1985189335531812324455545509044214546841]
res = [17514122934988110165886587218707943859589, 828023569353871016099054873610645592579, 3834965867062595899595546144451189629655, 5083410101797762407471893731877939884166, 6199590917760184276466050254032811548454, 208337506454727094683323122852921121527, 5210709327454808237359999225611588134922, 239093795148407379152016295908193630983, 29793049900271876372064873251244672365333, 1641943491807405218384351799880631607416, 1685895805013787734204509484411577153108, 1511298522529374764380482522275435302730]

e=65537
c=crt(res, mod)
d=inverse_mod(e,(p-1)*(q-1))
m=pow(c,d,n)
bytes.fromhex(hex(m)[2:])
#b'flag{5bb5e0a9d48f44a3770253875f263810}'

solve2

 python -m primefac -vs -m=p+1 3216831712236484919804716473942409526434016529181790011140718891645020999952523287950679312500771653918738887189899203815116997399422419456666136527466294225647700744715569996552708989626431982330367733125015062070399091789218760399060531383324158096784030850407432126491091299460659042468401054516052600467997

Z310  =  P155 x P155  =  36691536769373164488130311421517753226870999465362409179446664596323017708216823951466573340643687346264018616414289061014410434943387973225734363385787789 x 87672307989062215446143529710752157306955526821841719247488664102327017984537994201433268176885668357106056974714015205850633744163704470170502301010174673

RAVEN_1452
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RSA p+1或p-1光滑
m0_62506844的博客
07-14 3100
rsa中,如果p或q生成不当导致p+1或者p-1光滑,则可能会易被攻击 参考:ctf wiki 【大数分解】Pollard‘s p-1 method 光滑数 (Smooth number):指可以分解为小素数乘积的正整数p-1光滑(Pollard‘s p-1 method):根据费马小定理(Fermat Theorem),若p是素数,且p不整除a,则有: ap−1≡1 (mod p)a^{p-1}\equiv 1~(mod~p)ap−1≡1 (mod p) B-Smooth数:如果一个整
CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击
01-20
边学边做的大龄小白写了第一篇wp -.- [61dctf]cry 题目来源:https://www.jarvisoj.com/challenges Coppersmith攻击:已知p的高位攻击 关键点:用SageMath 恢复RSA完整的p 题目给了源码,其中print如下信息: print ====welcome to cry system==== (p,q,n,e,d)=rsa_gen() print give you the public key: print n:+hex(n).replace(L,) print e:+h
密码CTF(5)
最新发布
l2ohvef的博客
06-21 330
2.
p高位攻击
Emmaaaaa's blog
04-12 1317
三道p高位攻击题目,四种求p方法,都大同小异,放一起更好理解
BUUCTF 每日打卡 2021-5-18
weixin_52446095的博客
05-18 314
引言 果然当鸽子会上瘾。。。 上周五打的国赛24小时不间断就离谱 原本打算通宵打,结果发现到半夜能写的都写了(指就写了一道 200 分的 rsa) 槽点太多,一时不知道从哪开始吐了 总之鸽了三天,今天就肝(水)一期国赛的那道 rsa 吧(咕咕咕) [CISCN]rsa 加密代码如下: from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert
CTF-RSA已知高低位的攻击
villons的博客
09-03 3186
目前看到的大多数题目wp都是知道部分高位,鲜有说高位低位各知道一部分的,除了上面那篇攻略。而这道题目则比上面那篇的题目简单一些。反正我初学碰壁,看到flag的时候也算扬眉吐气,遂来这里显摆一下自己的一点点所得。
RSAc.rar_rsac++
09-19
- **模逆运算**:RSA算法中涉及到模逆运算,即找到一个数a的模p的逆元,使得a * a^-1 ≡ 1 (mod p)。这是在C++实现中需要解决的一个数学问题,可以使用扩展欧几里得算法求解。 ### 2. C++实现RSA的关键步骤 - **...
RSAC.zip_Help!_rsac++
09-22
1. 密钥生成:选择两个大素数p和q,计算n=p*q,然后找到欧拉函数φ(n)=(p-1)*(q-1)。选取一个与φ(n)互质的整数e作为公钥的加密指数,计算d为e的模逆元(使得d*e ≡ 1 mod φ(n)),d作为私钥的解密指数。 2. 公钥和...
src_return_rsac++_
09-30
标题“src_return_rsac++_”暗示我们正在讨论一个C++实现的RSA加密算法,而“encryption result implemented c++ return code”描述表明这是关于在C++中实现RSA加密后返回结果的代码。RSA是一种广泛使用的非对称加密...
RSA已知高位攻击
m0_57291352的博客
10-09 8867
背景: rsa解密,已知e,n,c(其中n太大,分解不了),和p的高位或m的高位或d的高位 工具: sage (没下载的话,有个在线网站可用:https://sagecell.sagemath.org/) 基础知识: PR.<x> = PolynomialRing(Zmod(n)) 用于生成一个以x为符号的一元多项式环 f = x + p4 定义求解的函数 roots = f.small_roots(X=2^kbits, beta=0.4) 多项式小值根求解及因子分解,其中X表示求解根的上
CTF实战分享 | Crypto-RSA
jennycisp的博客
11-22 924
此时e1在3, 7, 3 * 3, 3 * 7, 7 * 7, 3 * 3 * 7, 3 * 7 * 7, 7 * 7 * 7, 3 * 7 * 7 * 7, 3 * 3 * 7 * 7内取值。先gcd n1 n2 n3两两之间的共享素数然后直接Ф(n1),Ф(n2),Ф(n3),在然后mi=pow(ci,Ф(ni),ni)得到s,t后,求取M=m^gcd(e1, e2) = pow(c1, s, n) * pow(c2, t, n) % n。由于****c = (m ^ e) % n****。
2019强网杯 - 密码学-RSA-Coppersmith
热门推荐
BlusKing
05-28 1万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
rsa算法笔记
mikumiku~
09-17 299
自用
RSA自查表(内含脚本)
pwnyuan's blog
11-19 1983
RSA自查表BeforeRSA原理攻击类型低加密指数分解攻击e=2 把c开平方求解e=2 Rabin算法e=3 小明文攻击低解密指数攻击(Wiener's Attack)Boneh and Durfee attack低加密指数广播攻击共模攻击模不互素e与phi 不互素e与phi不互素,存在公因子x(x!=e)e与phi不互素,存在公因子x(x==e即e为phi的一个因子)Coppersmith攻击已知m的高位(Known High Bits Message Attack)已知p的高位(Factoring w
2022鹏城杯CTF---Crypto wp
3tefanie丶zhou的博客
07-07 2192
【我们对别人,对这个世界,所有的误会,可能都来自三个字,”我觉得“。】
RSA攻击方法整理
九层台
10-20 1万+
RSA算法简述 ① 选两个保密的大素数p和q。 ② 计算n=p×q,φ(n)=(p-1)(q-1),其中φ(n)是n的欧拉函数值。 ③ 选一整数e,满足1&amp;lt;e&amp;lt;φ(n),且gcd(φ(n),e)=1。 ④ 计算d,满足d·e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因e与φ(n)互素,由模运算可知,它的乘法逆元一定存在。 ⑤ 以{e,n}为公开钥,{d,n}为秘密钥。 ...
RSA原理及其攻击方法
sinri的博客
07-10 4511
RSA原理及其攻击方法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 密钥产生: 1.选两个大素数p和q 2.计算n=p*q,欧拉函数*φ(n) =(p-1) (q-1) 3.选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1,即φ(n)与e互质 4.计算d,满足d *e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因为e与φ(n)互素,由模运算可知,它的乘法逆元一定存在(欧拉定理:若a与n互素,则a^φ(n)≡1 mod n) 5.
rsa里(p+1)(q+1)
05-10
(p+1)*(q+1)在RSA加密算法中的作用是用来计算(p-1)*(q-1)。因为(p+q)=(p-1)+(q-1)+2,所以(p+1)*(q+1)=p*q+(p+q)+1=p*q+n+1。因此,我们可以通过(p+1)*(q+1)和n=p*q来计算(p-1)*(q-1),即(p-1)*(q-1)=(p+q)-n-1=(p+1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值