RSA已知高位攻击

最新推荐文章于 2024-06-21 17:29:33 发布
最新推荐文章于 2024-06-21 17:29:33 发布
阅读量8.8k 收藏 78
点赞数 8
分类专栏: 信息安全基础知识笔记 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57291352/article/details/120675242
版权

背景:

rsa解密,已知e,n,c(其中n太大,分解不了),和p的高位或m的高位或d的高位

工具:

sage
(没下载的话,有个在线网站可用:https://sagecell.sagemath.org/

基础知识:

PR.<x> = PolynomialRing(Zmod(n))

用于生成一个以x为符号的一元多项式环

f = x + p4

定义求解的函数

roots = f.small_roots(X=2^kbits, beta=0.4)

多项式小值根求解及因子分解,其中X表示求解根的上界

coppersmith的定理:

对任意的a > 0 , 给定N = PQR及PQ的高位(1/5)(logN,2)比特,我们可以在多项式时间logN内得到N的分解式。这是三个因式的分解。也就是说我们现在是由理论依据的,已知高位是可以在一定时间内分解N。

Coppersmith证明了在已知p和q部分比特的情况下,若q和p的未知部分的上界X和Y满足XY <= N 0.5则N的多项式可以被分解。这里的0.5可以替换成其他的数,具体原因不详。

更多基础知识参考:https://www.jianshu.com/p/1a0e876d5929

解题代码

已知p的高位

知道p的高位为p的位数的约1/2时即可
已知e,n爆破 1024的P,至少需要知道前576位二进制,即前144位16进制

已知前144位,则

n=
p4=            #已知P的高位
e=
pbits=          #P原本的位数

kbits=pbits - p4.nbits()
print p4.nbits()
p4 = p4 << kbits
PR.<x> = PolynomialRing(Zmod(n))
f = x + p4
roots = f.small_roots(X=2^kbits,beta=0.4)
# 经过以上一些函数处理后,n和p已经被转化为10进制
if roots:
    p= p4 + int(roots([0]))
    print ("n",n)
    print ("p",p)
    print ("q",n/p)

只知道前142位

n =
p4 = #已知P的高位,最后面8位二进制,也就是两位十六进制要参与爆破,所以要用00补充
e =
pbits = #P原本的位数


for i in range(0,256):# 要爆破的8位二进制数,为2**8==256,表示0~255
    p4 =
    p4 = p4 + int(hex(i),16)
	kbits=pbits - p4.nbits()
	p4 = p4 << kbits
	PR.<x> = PolynomialRing(Zmod(n))
	f = x + p4
	roots = f.small_roots(X=2^kbits,beta=0.4)
	# 经过以上一些函数处理后,n和p已经被转化为10进制
if roots:
    p= p4 + int(roots([0]))
    print ("n",n)
    print ("p",p)
    print ("q",n/p)

已知m高位

def phase2(high_m, n, c):
    R.<x> = PolynomialRing(Zmod(n), implementation='NTL')
    m = high_m + x
    M = m((m^3 - c).small_roots()[0])
    print(hex(int(M))[2:])

n = 
c = 
high_m = 

phase2(high_m, n, c)

已知d的低位

如果知道d的低位,低位约为n的位数的1/4就可以恢复d。已知私钥的512位的低位 Partial Key Exposure Attack(部分私钥暴露攻击)

def partial_p(p0, kbits, n): 
    PR.<x> = PolynomialRing(Zmod(n)) 
    nbits = n.nbits() 
    f = 2^kbits*x + p0 
    f = f.monic() 
    roots = f.small_roots(X=2^(nbits//2-kbits), beta=0.3)  # find root < 2^(nbits//2-kbits) with factor >= n^0.3
    if roots:
         x0 = roots[0]
         p = gcd(2^kbits*x0 + p0, n)
         return ZZ(p)
 
def find_p(d0, kbits, e, n): 
    X = var('X') 
    for k in range(1, e+1): 
        results = solve_mod([e*d0*X - k*X*(n-X+1) + k*n == X], 2^kbits) 
        for x in results: 
            p0 = ZZ(x[0]) 
            p = partial_p(p0, kbits, n) 
            if p: 
                return p 
if __name__ == '__main__':
 
    n = 
    e = 
    d = 
    
    beta = 0.5
    epsilon = beta^2/7
     
    nbits = n.nbits() 
    #print("nbits:%d:"%(nbits))
    #kbits = floor(nbits*(beta^2+epsilon)) 
    kbits = nbits - d.nbits()-1 
    #print("kbits:%d"%(kbits))
    d0 = d & (2^kbits-1)
    #print("lower %d bits (of %d bits) is given" % (kbits, nbits))
    p = find_p(d0, kbits, e, n)
    print("found p: %d" % p)
    q = n//p
    print(d)
    print(inverse_mod(e, (p-1)*(q-1)))

已知d的低位

[+]n=92896523979616431783569762645945918751162321185159790302085768095763248357146198882641160678623069857011832929179987623492267852304178894461486295864091871341339490870689110279720283415976342208476126414933914026436666789270209690168581379143120688241413470569887426810705898518783625903350928784794371176183

[+]e=3

[+]m=random.getrandbits(512)

[+]c=pow(m,e,n)=56164378185049402404287763972280630295410174183649054805947329504892979921131852321281317326306506444145699012788547718091371389698969718830761120076359634262880912417797038049510647237337251037070369278596191506725812511682495575589039521646062521091457438869068866365907962691742604895495670783101319608530

[+]d&((1<<512)-1)=787673996295376297668171075170955852109814939442242049800811601753001897317556022653997651874897208487913321031340711138331360350633965420642045383644955

[-]long_to_bytes(m).encode('hex')=

在这里插入图片描述

def getFullP(low_p, n):
    R.<x> = PolynomialRing(Zmod(n), implementation='NTL')
    p = x*2^512 + low_p
    root = (p-n).monic().small_roots(X = 2^128, beta = 0.4)
    if root:
        return p(root[0])
    return None
    
def phase4(low_d, n, c,e):
    maybe_p = []
    for k in range(1, 4):
        p = var('p')
        p0 = solve_mod([e*p*low_d  == p + k*(n*p - p^2 - n + p)], 2^512)
        maybe_p += [int(x[0]) for x in p0]
    print(maybe_p)    
    for x in maybe_p:
        P = getFullP(x, n)
        if P: break    
    P = int(P)
    Q = n // P    
    assert P*Q == n    
    d = inverse_mod(e, (P-1)*(Q-1))
    print(hex(power_mod(c, d, n))[2:])
    
n = 
c = 
low_d = 

phase4(low_d, n, c,e)

已知p部分高位,部分低位

from Crypto.Util.number import getPrime, bytes_to_long
from secret import flag

p = getPrime(1024)
q = getPrime(1024)
n = p * q
e = 65537
hint1 = p >> 724
hint2 = q % (2 ** 265)
ct = pow(bytes_to_long(flag), e, n)
print(hint1)
print(hint2)
print(n)
print(ct)

out

1514296530850131082973956029074258536069144071110652176122006763622293335057110441067910479
40812438243894343296354573724131194431453023461572200856406939246297219541329623
21815431662065695412834116602474344081782093119269423403335882867255834302242945742413692949886248581138784199165404321893594820375775454774521554409598568793217997859258282700084148322905405227238617443766062207618899209593375881728671746850745598576485323702483634599597393910908142659231071532803602701147251570567032402848145462183405098097523810358199597631612616833723150146418889589492395974359466777040500971885443881359700735149623177757865032984744576285054725506299888069904106805731600019058631951255795316571242969336763938805465676269140733371287244624066632153110685509892188900004952700111937292221969
19073695285772829730103928222962723784199491145730661021332365516942301513989932980896145664842527253998170902799883262567366661277268801440634319694884564820420852947935710798269700777126717746701065483129644585829522353341718916661536894041337878440111845645200627940640539279744348235772441988748977191513786620459922039153862250137904894008551515928486867493608757307981955335488977402307933930592035163126858060189156114410872337004784951228340994743202032248681976932591575016798640429231399974090325134545852080425047146251781339862753527319093938929691759486362536986249207187765947926921267520150073408188188

也就是说,知道p的高300位,和q的低265位

根据
在这里插入图片描述
我们可以求出p的低位,然后再进行coppersmith定理求解

参考代码

from gmpy2 import *
from Crypto.Util.number import *
 
p1 = 1514296530850131082973956029074258536069144071110652176122006763622293335057110441067910479
q0 = 40812438243894343296354573724131194431453023461572200856406939246297219541329623
n = 21815431662065695412834116602474344081782093119269423403335882867255834302242945742413692949886248581138784199165404321893594820375775454774521554409598568793217997859258282700084148322905405227238617443766062207618899209593375881728671746850745598576485323702483634599597393910908142659231071532803602701147251570567032402848145462183405098097523810358199597631612616833723150146418889589492395974359466777040500971885443881359700735149623177757865032984744576285054725506299888069904106805731600019058631951255795316571242969336763938805465676269140733371287244624066632153110685509892188900004952700111937292221969
mod=pow(2,265)
p0=n*invert(q0,mod)%mod
pbar=(p1<<724)+p0
PR.<x> = PolynomialRing(Zmod(n))
 
for i in range(32):
    f=pbar+x*mod*32
    f=f.monic()
    pp=f.small_roots(X=2^454,beta=0.4)
    if(pp):
        break
    pbar+=mod
 
p=pbar+pp[0]*32*mod
assert n%p==0
print(p)
 
q=n//p
phi=(p-1)*(q-1)
e=65537
d=invert(e,phi)
c=19073695285772829730103928222962723784199491145730661021332365516942301513989932980896145664842527253998170902799883262567366661277268801440634319694884564820420852947935710798269700777126717746701065483129644585829522353341718916661536894041337878440111845645200627940640539279744348235772441988748977191513786620459922039153862250137904894008551515928486867493608757307981955335488977402307933930592035163126858060189156114410872337004784951228340994743202032248681976932591575016798640429231399974090325134545852080425047146251781339862753527319093938929691759486362536986249207187765947926921267520150073408188188
m=pow(c,d,n)
print(long_to_bytes(m))
#flag{ef5e1582-8116-4f61-b458-f793dc03f2ff}

参考内容

相关知识点参考
部分代码参考1
部分代码参考2

无名函数
关注
  • 8
    点赞
  • 78
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
从零开始学RSA已知dp,dq求解m和CopperSmith定理攻击
weixin_44626085的博客
04-10 1279
sage是基于python开发,所以python的语法几乎对它完全适用,但是sage自己还开发出了很多语法格式和数学公式,学习难度还是不低的,所以我把这些脚本都当做了工具,拿来直接用,自己写出来似乎能力还不够,因为不光要学语法,关键是这里面的数学算法知识。什么叫m的高位呢,很简单,比如题目给你m=0x65c46754a7776c8b88867e000000000000000000 前面的部分就是高位,后面的0就是低位,0只是占位的作用并不是真正m的值。要求出完整的m的值。
CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击
01-20
边学边做的大龄小白写了第一篇wp -.- [61dctf]cry 题目来源:https://www.jarvisoj.com/challenges Coppersmith攻击:已知p的高位攻击 关键点:用SageMath 恢复RSA完整的p 题目给了源码,其中print如下信息: print ====welcome to cry system==== (p,q,n,e,d)=rsa_gen() print give you the public key: print n:+hex(n).replace(L,) print e:+h
密码CTF(5)
最新发布
l2ohvef的博客
06-21 327
2.
CTF-RSA已知高低位的攻击
villons的博客
09-03 3184
目前看到的大多数题目wp都是知道部分高位,鲜有说高位低位各知道一部分的,除了上面那篇攻略。而这道题目则比上面那篇的题目简单一些。反正我初学碰壁,看到flag的时候也算扬眉吐气,遂来这里显摆一下自己的一点点所得。
RSA相关攻击
Givememercy的博客
03-05 194
RSA相关攻击简要摘录
【密码学RSArsa_p高位泄露(2021四川省数字创新赛题)
serendipity1130的博客
09-07 3147
1.题目: from Crypto.Util.number import getPrime, bytes_to_long FLAG = b"flag{}" def enc(m): return pow(m, e, N) if __name__ == "__main__": l = 256 p = getPrime(1024) N = p * getPrime(1024) e = 65537 a = (p >> l) <<
rsa解密(已知nec).py
01-03
rsa解密(已知nec).py
rsa解密(已知nc1c2e1e2共模攻击)python3.py
01-03
rsa解密(已知nc1c2e1e2共模攻击)python3.py
RSA共摸攻击算法python实现
03-15
RSA共模攻击,一种经典的攻击方式,学过密码学的人都知道吧
rsa解密(已知p qe 求 d)python3.py
01-03
rsa解密(已知p qe 求 d)python3.py
CoppersmithAttack:铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下
05-11
铜匠攻击 铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下。 LowPublicExponent:当e较小且不填充时。 包含两个案例“ trival”,“Håstad”案例 平凡的情况:如果m ^ 3 <N> N,但我们有多对c,n
m高位攻击
Emmaaaaa's blog
04-13 328
由这两道题可以猜测m高位攻击中需要e = 3,事实好像也是如此
rsa(已知n,e,c)
m0_74030040的博客
11-02 6852
child rsa
N等于三个质数求解题目--dp泄露研究--题目(m的高位攻击刷题)--大小循环统计出现次数题--Dvwa文件上传(2级)
weixin_55631415的博客
11-21 244
N等于三个质数求解题目--dp泄露研究--题目(m的高位攻击刷题)--大小循环统计出现次数题--Dvwa文件上传(2级)
RSA原理及其攻击方法
sinri的博客
07-10 4509
RSA原理及其攻击方法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 密钥产生: 1.选两个大素数p和q 2.计算n=p*q,欧拉函数*φ(n) =(p-1) (q-1) 3.选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1,即φ(n)与e互质 4.计算d,满足d *e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因为e与φ(n)互素,由模运算可知,它的乘法逆元一定存在(欧拉定理:若a与n互素,则a^φ(n)≡1 mod n) 5.
论文笔记:公钥密码算法的硬件实现及侧信道攻击研究(RSA部分)
jeanlu的博客
03-02 2492
论文笔记:公钥密码算法的硬件实现及侧信道攻击研究 作者:王晖(天津大学)
RSA常见攻击方式(西电网信密码学大作业)
qq_56406979的博客
03-04 1385
RSA常见攻击
RSA算法详解及攻击原理分析-附攻击范例
qq_43390703的博客
09-08 8631
文章目录RSA算法1、算法背景1.1 公钥密码1.2 公钥体制数学基础1.3 公钥通信的流程2、RSA算法数学基础2.1 RSA相关的数论基础2.2 欧拉定理及推广3、 RSA算法构造及验证3.1 RSA算法3.2 RSA算法完备性证明3.2.1 证明方法一3.2.2 证明方法二4、安全分析4.1 模数N的选取原则4.1.1 共模攻击4.2 参数e的选取原则4.2.1 低加密指数攻击4.2.2 低加密指数广播攻击4.2.3 维纳攻击4.2.4 低解密指数攻击4.3 参数d的选取原则4.3.1 维纳攻击4.
python rsa已知公钥解密
09-27
### 回答1: Python中可以使用pycryptodome库来实现RSA加密和解密。假设已知公钥为`(e, n)`,加密的密文为`c`,要解密得到明文`m`,可以按照以下步骤: 1. 导入pycryptodome库 ```python from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 ``` 2. 构造RSA公钥对象 ```python e = 65537 # 公钥指数 n = 123456789 # 模数 pub_key = RSA.construct((n, e)) ``` 3. 构造RSA解密器 ```python cipher = PKCS1_v1_5.new(pub_key) ``` 4. 解密密文 ```python c = 12345678 # 密文 m = cipher.decrypt(c, None) ``` 完整代码如下: ```python from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 e = 65537 # 公钥指数 n = 123456789 # 模数 pub_key = RSA.construct((n, e)) cipher = PKCS1_v1_5.new(pub_key) c = 12345678 # 密文 m = cipher.decrypt(c, None) print(m) ``` 注意,这种方式只适用于RSA加密算法的“公钥加密、私钥解密”模式,如果使用了其他模式(如“私钥加密、公钥解密”),则需要使用相应的解密算法。另外,如果密文没有使用填充算法(如PKCS#1 v1.5填充),则需要使用相应的解密算法进行解密。 ### 回答2: Python中的RSA加密解密算法是非常常见的加密算法之一。在使用RSA算法进行加密和解密时,我们需要生成一对秘钥,包括公钥和私钥。 公钥用于加密数据,私钥用于解密数据。而且,根据RSA算法的特性,通过公钥进行加密后的数据只能使用私钥来解密。 在Python中,我们可以使用`rsa`库来进行RSA加密解密操作。首先,我们需要安装`rsa`库,可以使用以下命令来进行安装: ```python pip install rsa ``` 接下来,我们可以使用以下代码对数据进行加密和解密: ```python import rsa # 生成公钥和私钥 (pubkey, privkey) = rsa.newkeys(2048) # 原始数据 message = 'Hello World!' # 使用公钥进行加密 enc_message = rsa.encrypt(message.encode(), pubkey) # 使用私钥进行解密 dec_message = rsa.decrypt(enc_message, privkey) # 打印解密后的数据 print(dec_message.decode()) ``` 在以上代码中,我们首先生成了公钥和私钥,然后使用公钥`pubkey`对原始数据进行加密,再使用私钥`privkey`对加密后的数据进行解密。最后,我们打印出解密后的数据。 需要注意的是,RSA算法中的秘钥长度影响加解密的速度和安全性。一般情况下,我们使用2048位长度的秘钥进行加解密操作。 以上就是Python中使用RSA算法已知公钥进行解密的简要说明。 ### 回答3: Python中可以使用`cryptography`库来进行RSA加解密操作。首先,我们需要获取公钥并加载它。假设公钥已经保存在文件`public_key.pem`中,可以使用如下代码加载该公钥: ``` python from cryptography.hazmat.primitives import serialization with open("public_key.pem", "rb") as f: public_key = serialization.load_pem_public_key( f.read(), backend=default_backend() ) ``` 接下来,我们可以使用公钥进行解密操作。假设要解密的密文已经保存在变量`ciphertext`中,可以使用如下代码进行解密: ``` python plaintext = public_key.decrypt( ciphertext, padding.OAEP( mgf=padding.MGF1(algorithm=hashes.SHA256()), algorithm=hashes.SHA256(), label=None ) ) ``` 其中,`ciphertext`为需要解密的密文,`plaintext`为解密后的明文。在解密过程中,使用了OAEP填充方案,并指定了哈希算法为SHA256。 需要注意的是,RSA解密操作通常使用私钥而不是公钥进行。如果只知道公钥,无法对密文进行解密。因此,前提是需要同时知道公钥和私钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值