粗略整理RSA的攻击方式, 欢迎指正和补充。
·p,q 过大或过小:n可能被分解
·p,q过近:导致n开方可得近似值
·e过小:低加密指数攻击
·明文过小:小明文攻击
·e很大:Wiener-attack
·e=2:Rabin算法
·低加密指数广播攻击:e较小,并且使用不同的n,多次加密相同的明文。
·共模攻击:对于同一明文m,使用同样的n,不同的e分别进行加密
·共享素数:两个n使用了同一个p, gcd直接可解出
·RSA-CRT-leak/RSA---CRT故障攻击: 程序crt计算错误导致秘钥泄露 "Factoring RSA Keys With TLS Perfect Forward Secrecy”
.....
Coppersmith 相关攻击
·Stereotyped messages攻击 或 Lattice based attacks 或 Known High Bits Message Attack:已知明文的高位
·Factoring with High Bits Known:已知p的高位
·Partial Key Exposure Attack:已知部分私钥
·Related Message Attack和RSA Padding Attack: 明文存在线性关系
1. e=3时 Related Message Attack
2.e ≠3时 但padding过短,则可以利用Coppersmith’s short-pad attack
· Broadcast Attack with Linear Padding/Hastad’s Broadcast Attack with Linear Padding :相同e,e组不同模数N加密明文m的线性关系
·Boneh and Durfee attack :当 d<N^0.292d<N0.292时
......
CTF-考点:
· n有多个因子:欧拉函数性质求φ(n)
· n=p^k :欧拉函数性质求φ(n)
· e与phi不互质:
·e与phi不互质 且 gcd(e,n)=e:在域中开高次根的攻击
· RSA-CRT leaks: 中国剩余定理参数泄露 1. e,n,dp泄露 2.dp,dq,p,q泄露
· 私钥破损恢复
....
相关脚本:
https://github.com/ashutosh1206/Crypton/tree/master/RSA-encryption
https://github.com/ValarDragon/CTF-Crypto/tree/master/RSA
欢迎补充和指正。
----2020.2.5----