crypto_solveit2022(rsa中coppersmith攻击应用)

最新推荐文章于 2024-06-21 13:16:37 发布
最新推荐文章于 2024-06-21 13:16:37 发布
阅读量1.6k 收藏 11
点赞数
分类专栏: crypto 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/figfig55/article/details/127283671
版权

今年遇到的另一道rsa题,知识点比较杂记录一下。

题目很简单,给出两段rsa加密逻辑:

from libnum import s2n
from gmpy2 import next_prime
from Crypto.Util.number import getPrime, getStrongPrime

flag = b'***************************'
m = s2n(flag)
data1 = getPrime(128)
data2 = getPrime(128)

if data1 > data2:
    data1, data2 = data2, data1

pad = data1 * data2
e = 65537
p = getStrongPrime(512)
q = next_prime(p ^ (1 << 512) - 1 ^ 1145141919810)
n = p * q
m = m ^ (pad**3)
c = pow(m, e, n)
print("c = {}".format(c))
print("n = {}".format(n))

'''
c = 4876198060325558549288995522100507087517821034108816602164382070749684285584225421889164875913824962554132279846256774271230741598793103772088831581334775807966395144586271639023739926023422461534946692758208303683848234357028505178292070426362296226890794270835780238370200672015289469862799153558118626538
n = 22496691787129427749959005524646018077441588595947356500541791402307996665819440265849843924260051516521718141146431339445253436586359746245186586849516881880135888115635970343512176471451755147483038942057104297542535022428306408447982927962678529654674038001433905787928883880082539446749721026403230355477
'''

*******************************
bound = 2**128
prec = 400
ring = RealField(prec)
data3 = ring(data1 / data2)

#data3 = 0.576745262648089166053295786066675247383735995449723064673392221201629992787992198615151331712300834922059228957126784067
*******************************

大概分析一下,p和q是512bit的大素数,明文先与pad**3进行异或以后rsa加密,所以本题关键的两个问题一个就是求解p和q,另一个就是求解pad。

首先求解pad想到的是应用连分数攻击,找到分子分母128bit的渐进分数逼近data3:

#sage exp
data3 = 0.576745262648089166053295786066675247383735995449723064673392221201629992787992198615151331712300834922059228957126784067

c = continued_fraction(data3)
print(c)

alist = c.convergents()
print(alist)

for i in alist:
    a = str(i).split('/')
    if len(a)>1 and gcd(int(a[0]),int(a[1])) == 1 and is_prime(int(a[0])) and is_prime(int(a[1])) and int(a[0]).bit_length()==128 and int(a[1]).bit_length()==128:
            print(a)

#['182219017730986958273958989689968387899', '315943674845875518476789636594922239111']

如此一来pad问题就解决了。接下来需要求p和q。先去factordb查了一波没查到结果,只能想办法硬算,近似算法具体算法参考以下这篇:

【zer0pts CTF 2022】 Anti-Fermat(p、q生成不当)_Paintrain的博客-CSDN博客

针对本题的话根据p+q\approx1<<512 

可以得到近似p=(iroot(pow(2,1024)-4*n,2)[0]+pow(2,512))//2+1145141919810

然后用coppersmith方法攻击p值的低位原理参考这篇:

【CTF RSA】Coppersmith攻击 - 简书

所以解密脚本为:

#sage exp
from Crypto.Util.number import *
import gmpy2
c = 4876198060325558549288995522100507087517821034108816602164382070749684285584225421889164875913824962554132279846256774271230741598793103772088831581334775807966395144586271639023739926023422461534946692758208303683848234357028505178292070426362296226890794270835780238370200672015289469862799153558118626538
n = 22496691787129427749959005524646018077441588595947356500541791402307996665819440265849843924260051516521718141146431339445253436586359746245186586849516881880135888115635970343512176471451755147483038942057104297542535022428306408447982927962678529654674038001433905787928883880082539446749721026403230355477
e=65537

#estimate p
px=(gmpy2.iroot(pow(2,1024)-4*n,2)[0]+pow(2,512))//2+1145141919810
print(px)
p=int(px)

P.<x>=PolynomialRing(Zmod(n))  #对p进一步爆破
for i in range(100,1000):
    f=x+ZZ(((p>>i)<<i))      #注意加上整数环ZZ,因为x是个环内的数,不然会报错,不信你可以试试
    root=f.small_roots(X=2^i,beta=0.4)
    if root!=[]:
        p=root[0]+ZZ(((p>>i)<<i))
        break
print(p)

q=ZZ(n)//ZZ(p)
phi=ZZ((p-1)*(q-1))
d=gmpy2.invert(e,phi)
m=ZZ(pow(c,d,n))
print(m)

data1=182219017730986958273958989689968387899
data2=315943674845875518476789636594922239111
pad = data1 * data2
print(pad**3)

#190813940127169285428485324804754938788990669565404586938424781084071030386363403117434253462457023978333955353156254005360622226335647610163254072330538141918676938868012557681771059410152661947776076466998765803516367248870831928
#190813940127169285428485324804754938788990669565404586938424781084071030386363403117434253462457023978333955353156254005360622226315064447374106848135025311597743809754751326596877994873102973248296727123176719173187699013097440069
mm=m^^(pad**3)
#mm=56006392793427429214108738999096395450496940694719089841200007225830160331551005145390312324435424381
flag=long_to_bytes(mm)
print(flag)

山猪儿烦不得
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
RSA.zip_Crypto++_crypto RSA_crypto rsa_rsa_rsa加密
09-14
通过阅读和分析这些代码,我们可以更深入地了解如何在实际项目应用RSA算法和Crypto++库。 总的来说,RSA加密技术结合Crypto++库,为开发者提供了一种强大且灵活的工具来保护敏感数据。无论是进行数据传输还是存储...
密码学实验-RSA算法的几种攻击方法的实现
weixin_52111404的博客
09-22 1982
密码学实验
RSAcoppersmith定理的应用条件
M3ng@L的博客
03-20 9469
coppersmith在已知p多少位二进制情况下才能生效,RSA高位攻击(已知p的高位,求解p的低位依次分解n),sagemath的small_roots()函数讲解
CTF-CRYPTO-RSA
m0_73649671的博客
06-15 972
RSA是一种非对称加密体制 ,所谓非对称就是加密钥和解密钥不一样,要解决加解密相关问题,我们首先要弄清楚RSA加密解密流程用到了哪些东西
2019强网杯 - 密码学-RSA-Coppersmith
热门推荐
BlusKing
05-28 1万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
从零开始学RSA:已知dp,dq求解m和CopperSmith定理攻击
weixin_44626085的博客
04-10 1286
sage是基于python开发,所以python的语法几乎对它完全适用,但是sage自己还开发出了很多语法格式和数学公式,学习难度还是不低的,所以我把这些脚本都当做了工具,拿来直接用,自己写出来似乎能力还不够,因为不光要学语法,关键是这里面的数学算法知识。什么叫m的高位呢,很简单,比如题目给你m=0x65c46754a7776c8b88867e000000000000000000 前面的部分就是高位,后面的0就是低位,0只是占位的作用并不是真正m的值。要求出完整的m的值。
CRYPTO CTF 2022 easy
m0_62506844的博客
07-23 424
慢慢更新~
rsa.rar_Crypto++_c++RSA函数_crypto rsa
09-21
标题的"rsa.rar_Crypto++_c++RSA函数_crypto rsa"指的是一项使用Crypto++库在C++实现RSA加密算法的项目。Crypto++是一个开源的C++类库,包含了各种密码学算法,如RSA、AES等。在这个项目,开发者可能已经编写...
crypto_callback等三个动态库.zip
01-12
crypto.dll、crypto_callback.dll、otp_test_engine.dll,解决emqx start运行无反应问题,下载后解压缩,替换D:\emqx\lib\crypto-4.7\priv\lib下的原来的文件即可解决问题
crypto_app:使用RSA方法对消息进行编码的工具
03-12
crypto_app描述使用RSA方法对消息进行编码的工具。 RSA算法是一种非对称密码算法; 这意味着它使用一个公共密钥和一个私有密钥(即两个不同的,数学上链接的密钥)。 顾名思义,公钥是公开共享的,而私钥是秘密的,...
Crypto.zip_CRYPTO_Crypto++_mfc sample crypto_terriblent3_zip
07-14
1. 如何在MFC应用程序集成Crypto++库:这可能涉及到库的配置,如添加包含路径和链接器设置,以及在代码如何引用Crypto++的类和函数。 2. 对称加密算法的使用:Crypto++库支持AES、DES、3DES等多种对称加密算法...
CoppersmithAttack:铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下
05-11
铜匠攻击 铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下。 LowPublicExponent:当e较小且不填充时。 包含两个案例“ trival”,“Håstad”案例 平凡的情况:如果m ^ 3 <N> N,但我们有多对c,n
CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击
01-20
边学边做的大龄小白写了第一篇wp -.- [61dctf]cry 题目来源:https://www.jarvisoj.com/challenges Coppersmith攻击:已知p的高位攻击 关键点:用SageMath 恢复RSA完整的p 题目给了源码,其print如下信息: print ====welcome to cry system==== (p,q,n,e,d)=rsa_gen() print give you the public key: print n:+hex(n).replace(L,) print e:+h
再不学点现代密码,CTF就Hold不住啦!
蚁景网安学院
01-04 1366
点击蓝字关注我们0x00 前记 在许多CTFcryptoDES,AES,RSA三种现代密码频繁出现,今天在此做一下分享,给大家带来几个有趣的题目分析。0x01 现代密码之DES...
RSA密码系统的特定密钥泄露攻击Coppersmith方法的应用
最新发布
PrimiHub的博客
06-21 937
RSA算法的基本流程包括密钥生成、加密和解密三个过程。其数学基础主要依赖于欧拉定理和模幂运算。通过合理选择密钥参数,可以保证加密和解密过程的正确性和安全性。Coppersmith方法基于Lattice reduction(格约简)和LLL算法(Lenstra–Lenstra–Lovász)的结合,用于找到模数下的小根。其核心思想是将求解模多项式方程的问题转化为一个格的短向量问题。
RSA小公钥指数(e=3)的安全性分析
SecCloud的专栏
11-15 1万+
1. 引言 学术界普遍认为绝对不能选用e=3作为RSA公钥指数,就好像说我们再也不能用md5一样。但实际上,md5今天仍然广泛使用。一个密码算法在理论上被攻破,并不等于实践就一定会有安全风险。比如,md5作为一种密码哈希函数,理论上它必须满足三个性质:(1) 输出的均匀分布性;(2) 抗碰撞攻击;(3) 抗原像攻击。当王小云发现了md5不满足性质(2)之后,理论上md5算法就被攻破——md
简单RSA算法
WangLal的博客
02-28 2419
RSA 最近在涅普科技的网课下学习了RSA。来总结一下。 在去了解RSA的前提下,我们需要一些数论基础。 mod是取余函数,a mod b表示a 对 b取余 同余:若 a,b为两个整数且它们的差能被某个自然数 n 所 整除则称 a 就模 n 来说同余于 b,或者说 a 和 b关于模 n 同余,也可以说a和b对n的余数是相同的。 可以记为a ≡ b(mod n) 模逆元: 模逆元也称为模倒数。 一整数A对同余 N之模逆元是指满足以下公式的整数 A^-1≡ B(mod n) 也可以为A*B ≡ 1 mod n
Crypto 4
m0_73725283的博客
11-27 1084
经过提点,将n进行开根号得到一个数,这个数会与p相差不大,于是先判断是否为素数,如果不是就取下一个素数(next_prime),再用n // p求q即可(需要注意的是这里不能用q = next_prime§求解,因为q有可能是p的前一个素数),然后按照常规解法即可。观察代码可知n由p,q,r三个数得出,对应的欧拉函数也有改变,其余不变,则解密的n与phi也随之改变,即可求出答案。根据n = (p**3) * q求其对应的欧拉函数*(小于等于n的正整数与n 不互质的数的数目)*即可求出答案。
CTF-CRYPTO
GDL1411983801的博客
12-31 1502
9个CTF密码学的题,链接在这,请自取。
攻防世界的crypto_rsa
08-18
根据提供的引用内容,攻防世界的crypto_rsa题目是一个RSA加密相关的题目。通过给定的N、e和c,需要解密出明文m。 在给定的代码,首先计算了phi值,然后使用phi和指数e计算出私钥d。最后使用私钥d对密文c进行解密,得到明文m。 最终得到的明文是flag{bbe6ef5272d9be08a9a6e452b485aaf6}。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* *2* [攻防世界 crypto_rsa3](https://blog.csdn.net/XiongSiqi_blog/article/details/129390659)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值