RSA题型整理

最新推荐文章于 2024-06-08 23:06:52 发布
最新推荐文章于 2024-06-08 23:06:52 发布
阅读量2.8k 收藏 32
点赞数 4
分类专栏: 网络安全 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43698421/article/details/107454158
版权

同步于博客:http://dragonliu.tk/

0x00 前期准备

01 基础知识

02 Ubuntu 安装gmpy2模块

PARI/GP是一个比较强大的数论库,“针对数论中的快速计算(大数分解,代数数论,椭圆曲线…)而设计”。

需要的依赖库 gmp mpfr mpc

gmp 库安装

sudo apt-get install libgmp-dev

mpfr 库安装

sudo apt-get install libmpfr-dev

mpc 库安装

sudo apt-get install libmpc-dev

gmpy2 安装

#python3
sudo pip3 install gmpy2
#python2
sudo pip install gmpy2

0x01 已知n、e、c,求m

01 思路

  1. 利用 http://factordb.com/ 分解n获得p和q;
  2. 计算d;
  3. 解密得明文m。

02 代码

#!/usr/bin/env python
# coding=utf-8
import gmpy2

#分解n得p,q
p = gmpy2.mpz(...) #填写p
q = gmpy2.mpz(...) #填写q
e = gmpy2.mpz(...) #填写e
c = gmpy2.mpz(...) #填写c

#计算d
phi_n = (p - 1) * (q - 1)
d = gmpy2.invert(e, phi_n) #求解模逆元
print "private key:"
print d

#求明文
print "plaintext:"
M  =  pow(c, d, p*q)
print '[10进制]: ' + str(M)
flag = str( hex(M) )[2:] #[2:-1]
print '[16进制]: ' + flag
print '[ASCII码]: ' + flag.decode('hex')

0x02 低加密指数分解攻击(e = 1)

01 思路

  1. 加密过程: c ≡ E ( m ) ≡ m e (   m o d   n ) ≡ m (   m o d   n ) c \equiv E(m) \equiv m^{e}(\bmod n) \equiv m(\bmod n) cE(m)me(modn)m(modn),所以明文与密文模n同余;
  2. m = c + n ∗ k ( k = 0 , 1 , 2 , 3... ) m = c + n*k (k=0,1,2,3...) m=c+nk(k=0,1,2,3...),暴力破解即可。

02 代码

#!/usr/bin/env python
# coding=utf-8
import libnum

n = ... #填写n
c = ... #填写c

max_num = 6 #遍历上限

for k in range( max_num ):
    m = c + n*k
    print libnum.n2s(m)

0x03 Rabin加密(e=2)

01 思路

理论知识:我跳

02 代码

#!/usr/bin/env python
# -*- coding: utf-8 -*-

import libnum
import gmpy2

#从文件中读取密文
f = open('flag.enc','r')
c = f.read()
c = libnum.s2n(c)#字符串转数字

#分解n
p = ... #填写p
q = ... #填写p
n = p * q

#求解mp与mq
mp = pow(c, (p+1)/4, p)
mq = pow(c, (q+1)/4, q)

#求解yp与yq
yp = gmpy2.invert(p, q)
yq = gmpy2.invert(q, p)

#获得四个解
r1 = (yp*p*mq + yq*q*mp) % n
r2 = (-r1) % n
r3 = (yp*p*mq - yq*q*mp) % n
r4 = (-r3) % n

print libnum.n2s( r1 )#数字转字符串
print libnum.n2s( r2 )
print libnum.n2s( r3 )
print libnum.n2s( r4 )

p = q p = q p=q时,使用python命令行将16进制转十进制,然后直接求解 c c c模 n 时的平方根:

n = ...;
c = ...;
PowerMod[c, 1/2, n]

Wolfram 语言在线编辑:我跳

0x04 flag.enc + pubkey.pem

01 思路

  1. 解压得到两个文件【flag.enc】和【pubkey.pem】,其中【flag.enc】从文件名含有flag可以判断是加密后的密文,【pubkey.pem】是公钥文件,通过公钥文件可以得到e和n;
  2. 通过openssl对公钥文件【pubkey.pem】进行分解,使用命令【openssl rsa -pubin -text -modulus -in warmup -in pubkey.pem】,得到 e【Exponent】和 n【Modulus】;
  3. 其他根据类型判断。

02 代码

#!/usr/bin/env python
# coding=utf-8
import gmpy2
import rsa

#分解n得p,q
n = ... #填写n
p = ... #填写p
q = ... #填写q
e = ... #填写e

#计算私钥
phi_n = (p - 1) * (q - 1)
d = int( gmpy2.invert(e, phi_n) ) #求解模逆元
privatekey = rsa.PrivateKey(n , e , d , p , q) #根据已知参数,计算私钥

with open("./flag.enc" , "rb") as f: #填写文件
    print rsa.decrypt(f.read(), privatekey).decode()  #使用私钥对密文进行解密,并打印

0x05 共模攻击

01 思路

用相同的N,不同的e进行加密的,可以使用共模攻击。

02 代码

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from libnum import n2s, s2n
from gmpy2 import invert, gcdext

n  = ... #填写n
e1 = ... #填写e1
e2 = ... #填写e2

s = gcdext(e1, e2)  
s1 = s[1]
s2 = -s[2]

#读取密文
file1 = open('flag.enc1', 'r')
c1 = file1.read()
c1 = s2n(c1)#字符串转数字

file2 = open('flag.enc2', 'r')
c2 = file2.read()
c2 = s2n(c2)#字符串转数字

c2 = invert(c2, n)   
m = (pow(c1,s1,n) * pow(c2 , s2 , n)) % n
print n2s(m)

0x06 低加密指数分解攻击(e = 3)

01 思路

  1. 公钥中,e=3,N非常大。
  2. 加密过程: c ≡ E ( m ) ≡ m e (   m o d   n ) ≡ m 3 (   m o d   n ) c \equiv E(m) \equiv m^{e}(\bmod n) \equiv m^3(\bmod n) cE(m)me(modn)m3(modn),所以明文与密文的3次方模n同余;
  3. m = c + n ∗ k ( k = 0 , 1 , 2 , 3... ) m = c + n*k (k=0,1,2,3...) m=c+nk(k=0,1,2,3...),然后开三次方,暴力破解即可。

02 代码

#!/usr/bin/env python
# coding=utf-8
from libnum import s2n, n2s
from gmpy2 import iroot

n = ... #填写n
e = 3

#读取密文
file = open('flag.enc', 'r')
c = file.read()
c = s2n(c)#字符串转数字
file.close()

i = 0 
while True:
    res = iroot( (c + i*n), 3 )
    if( res[1] ==  True):
        print res
        break
    print "i = " + str(i)
    i += 1

m = ... #暴力获得的m
print n2s(m)

0x07 私钥修复+最优非对称加密填充(God Like RSA)

01 思路

压缩包里有一个密文,一个部分缺失的私钥,一个公钥,读公钥可知 N 是 4096 位的,分解无望,肯定要从私钥着手。

  1. 【vscode】打开【private.corrupted】,将对应变量填入下列脚本;
  2. 执行脚本后得到私钥,新建文件【private.pem】并将私钥复制进去;
  3. 然后执行【最优非对称加密填充】脚本。

02 代码

私钥修复脚本

#!/usr/bin/python
#-*- coding:utf-8 -*-

import re
import pickle
from itertools import product
from libnum import invmod, gcd


def solve_linear(a, b, mod):
    if a & 1 == 0 or b & 1 == 0:
        return None
    return (b * invmod(a, mod)) & (mod - 1)  # hack for mod = power of 2


def to_n(s):
    s = re.sub(r"[^0-9a-f]", "", s)
    return int(s, 16)


def msk(s):
    cleaned = "".join(map(lambda x: x[-2:], s.split(":")))
    return msk_ranges(cleaned), msk_mask(cleaned), msk_val(cleaned)


def msk_ranges(s):
    return [range(16) if c == " " else [int(c, 16)] for c in s]


def msk_mask(s):
    return int("".join("0" if c == " " else "f" for c in s), 16)


def msk_val(s):
    return int("".join("0" if c == " " else c for c in s), 16)

#根据文件pubilc.pem得到
E = ...
N = to_n("""...""")

#private.corrupted中的prime1
p_ranges, pmask_msk, pmask_val = msk(""" ... """)

#prime2
q_ranges, qmask_msk, qmask_val = msk(""" ... """)

#privateExponent
_, dmask_msk, dmask_val = msk(""" ... """)

#exponent1
_, dpmask_msk, dpmask_val = msk(""" ... """)

#exponent2
_, dqmask_msk, dqmask_val = msk(""" ... """)


def search(K, Kp, Kq, check_level, break_step):
    max_step = 0
    cands = [0]
    for step in range(1, break_step + 1):
        #print " ", step, "( max =", max_step, ")"
        max_step = max(step, max_step)

        mod = 1 << (4 * step)
        mask = mod - 1

        cands_next = []
        for p, new_digit in product(cands, p_ranges[-step]):
            pval = (new_digit << ((step - 1) * 4)) | p

            if check_level >= 1:
                qval = solve_linear(pval, N & mask, mod)
                if qval is None or not check_val(qval, mask, qmask_msk, qmask_val):
                    continue

            if check_level >= 2:
                val = solve_linear(E, 1 + K * (N - pval - qval + 1), mod)
                if val is None or not check_val(val, mask, dmask_msk, dmask_val):
                    continue

            if check_level >= 3:
                val = solve_linear(E, 1 + Kp * (pval - 1), mod)
                if val is None or not check_val(val, mask, dpmask_msk, dpmask_val):
                    continue

            if check_level >= 4:
                val = solve_linear(E, 1 + Kq * (qval - 1), mod)
                if val is None or not check_val(val, mask, dqmask_msk, dqmask_val):
                    continue

                if pval * qval == N:
                    print "Kq =", Kq
                    print "pwned"
                    print "p =", pval
                    print "q =", qval
                    p = pval
                    q = qval
                    d = invmod(E, (p - 1) * (q - 1))
                    coef = invmod(p, q)

                    from Crypto.PublicKey import RSA
                    print RSA.construct(map(long, (N, E, d, p, q, coef))).exportKey()
                    quit()

            cands_next.append(pval)

        if not cands_next:
            return False
        cands = cands_next
    return True

def check_val(val, mask, mask_msk, mask_val):
    test_mask = mask_msk & mask
    test_val = mask_val & mask
    return val & test_mask == test_val


for K in range(1, E):
    if K % 100 == 0:
        print "checking", K
    if search(K, 0, 0, check_level=2, break_step=20):
        print "K =", K
        break

for Kp in range(1, E):
    if Kp % 1000 == 0:
        print "checking", Kp
    if search(K, Kp, 0, check_level=3, break_step=30):
        print "Kp =", Kp
        break

for Kq in range(1, E):
    if Kq % 100 == 0:
        print "checking", Kq
    if search(K, Kp, Kq, check_level=4, break_step=9999):
        print "Kq =", Kq
        break

解题脚本(最优非对称加密填充)

#!/usr/bin/python
# coding=utf-8
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP

with open('pubkey.pem', 'r') as f:
    key = RSA.importKey(f)
    N = key.n
    e = key.e

print N
print e

with open('private.pem', 'r') as f:
    private = RSA.importKey(f)
    oaep = PKCS1_OAEP.new(private)

with open('flag.enc', 'r') as f:
    print oaep.decrypt(f.read())

03 参考

RSA 私钥恢复和最优非对称加密填充

0x08 wiener attack(e特别大)

01 思路

  1. 给出的n分解无望,而且e特别大,利用wiener attack脚本分解;
  2. 然后利用一般方法求解即可。

02 代码

import gmpy2
import libnum

def continued_fractions_expansion(numerator,denominator):#(e,N)
    result=[]
 
    divident=numerator%denominator
    quotient=numerator/denominator
    result.append(quotient)
 
    while divident!=0:
        numerator=numerator-quotient*denominator
 
        tmp=denominator
        denominator=numerator
        numerator=tmp
 
        divident=numerator%denominator
        quotient=numerator/denominator
        result.append(quotient)
 
    return result
 
def convergents(expansion):
    convergents=[(expansion[0],1)]
    for i in range(1,len(expansion)):
        numerator=1
        denominator=expansion[i]
        for j in range(i-1,-1,-1):
            numerator+=expansion[j]*denominator
            if j==0:
                break
            tmp=denominator
            denominator=numerator
            numerator=tmp
        convergents.append((numerator,denominator))#(k,d)
    return convergents
 
def newtonSqrt(n):
    approx = n/2
    better = (approx + n/approx)/2
    while better != approx:
        approx = better
        better = (approx + n/approx)/2
    return approx
 
def wiener_attack(cons,e,N):
    for cs in cons:
        k,d=cs
        if k==0:
            continue
        phi_N=(e*d-1)/k
        #x**2-((N-phi_N)+1)*x+N=0
        a=1
        b=-((N-phi_N)+1)
        c=N
        delta = b*b - 4*a*c
        if delta<=0:
            continue
        x1= (newtonSqrt(delta)-b)/(2*a)
        x2=-(newtonSqrt(delta)+b)/(2*a)
        if x1*x2==N:
            return [x1,x2,k,d]
 
 
N = ...
e = ...
 
expansion = continued_fractions_expansion(e,N)
cons = convergents(expansion)
 
p, q, k, d = wiener_attack(cons, e, N)
print p
print q

c = ... #密文

d = gmpy2.invert(e, (p - 1) * (q - 1))
m = pow(c, d, N)
print libnum.n2s(m)

0x0 reference

Dragon Liu
关注
  • 4
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rsa解密(已知nec).py
01-03
rsa解密(已知nec).py
RSA算法总结(数学知识/CTF题型
qi_SJQ_的博客
12-18 6424
1.RSA简介
RSA已知n、e、密文c,明文
最新发布
m0_74473137的博客
06-08 605
from Crypto.Util.number import *flag = b'' m = bytes_to_long(flag) p = getPrime(128) q = getPrime(128) phi = (p - 1) * (q - 1) n = p * q e = 65537 c = pow(m, e, n)print(f"n: {n}") print(f"e: {e}") print(f"c: {c}")''' n: 822623022556735468960689435714450890
rsa(已知n,e,c)
m0_74030040的博客
11-02 6784
child rsa
RSA加密算法
敲代码的乔帮主
03-20 1729
我们上一节讲解了对称加密算法和非对称加密算法,今天我们来介绍一种典型的非对称加密方式,叫做RSA加密算法。 为什么叫RSA加密算法呢?这个是因为,在1978年的时候麻省理工MIT有三位数学教授,他们一起发明了这种算法。三个人的名字分别是以R,S,A打头。 这个RSA算法基本原理是这样的(建议先看上一篇博客,非对称和对称算法): ...
buuctf新生赛RSA题解
qq_73824585的博客
10-06 2497
CTF crypto rsa
RSA小关
Rainbow_Melo
08-31 814
公钥算法(不对称加密算法):公钥加密,私钥解密 RSA安全性基于大数分解困难 RSA: 1、随机选两不同大质数p和q计算N=p×q 2、Δ(N)=(p-1)×(q-1) 3、选取e与Δ(N)互质,满足1<e<Δ(N) 4、得e关于Δ(N)的模逆元素d,即ed=1 mod Δ(N),使用d=gmpy2.invert(e,Δ(N)) (N,e)是公钥 (p,q,d)是私钥 加密过程:c=m^e mod N 解密过程:m=c^d mod N RSA相关: 1、共模攻击 欧几里得算法:gmpy2.g
RSA题型整理.md
07-19
含有CTF中的RSA常见题型及脚本
rsa2048签名算法
07-29
RSA2048签名算法是一种基于非对称加密技术的数字签名方法,广泛应用于网络安全、数据完整性保护以及身份验证等领域。在本文中,我们将深入探讨RSA2048签名算法的原理、工作流程以及其在实际应用中的重要性。 RSA...
C#RSA加密DEMO
03-25
C# 是一种广泛使用的编程语言,它提供了丰富的库来支持各种加密算法,其中包括RSA(Rivest-Shamir-Adleman)加密。RSA是一种非对称加密算法,它的特点是拥有两个密钥:公钥和私钥,分别用于加密和解密。 在这个"C# ...
RSA_RSA算法_
10-03
RSA算法是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,因此得名RSA。这种算法基于大整数因子分解的困难性,即找到两个大素数的乘积非常容易,但将其因子分解出来却极其困难,这为...
前端 RSA分段加密算法
03-31
"前端 RSA 分段加密算法"正是这种技术的一个实际应用。本文将深入探讨这一主题,包括RSA算法的基本原理、分段加密的原因以及在前端环境中如何实现。 RSA(Rivest-Shamir-Adleman)是一种公钥加密算法,由Ron Rivest...
rsa加密算法简单介绍
qq_46441427的博客
09-15 810
RSA加密算法简单介绍密码学基础一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 密码学基础 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.
现代密码学学到的RSA(2)
Kihyun_的博客
03-10 311
接上一篇,也是网易公开课学到的。 ** RSA加密 ** ①Bob有一个数m(m需要被加密) ②计算机me,(e为一个随机公开的数) ③me mod N = c (N为随机数)(c是密文) 如果提供c、N、em:(解密) cd mod N = m me*d mod N =m ** ** *N的加密:N是随机的但也有加密 ** ①Alice随机一个超150位的质数P1 ②随机生成一个P1的位数,相...
个人收集的RSA常用脚本
热门推荐
D1stiny的博客
05-03 1万+
文章目录已知dp,n,e,c明文m已知n,dp,dq,cd和明文m已知n,e,cm已知n,e秘钥d已知n,e秘钥d和key已知c1,c2,e1,e2,n明文m(共模攻击)e=1e=2e=3低解密指数攻击(e较大)e,m相同,存在两个n有公约数e取随机数自减至与欧拉函数互质最优非对称加密填充 由于本人实在太菜,死活不会写脚本(实际是py没好好学),遇到RSA只能找脚本,从此决定发愤图强学...
用实例给新手讲解RSA加密算法
07-09 4303
http://www.cfca.com.cn/zhishi/wz-012.htm     用实例给新手讲解RSA加密算法     图为 RSA公开密钥算法的发明人,从左到右Ron Rivest, Adi Shamir, Leonard Adleman. 照片摄于1978年    RSA加密算法是最常用
RSA算法
since_2020的博客
04-18 441
RSA的加密过程 (1)选择两个大的参数,计算出模数 N = p * q (2)计算欧拉函数 φ = (p-1) * (q-1),然后选择一个e (1 < e < φ) ,并且e和φ互质(互质:公约数只有1的两个整数) (3)取e的模反数d,计算方法为:e * d ≡ 1 (mod φ) (模反元素:如果两个正整数e和n互质,那么一定可以找到整数d,使得 e * d - 1 被n整除,或者说e * d被n除的余数是1。这时,d就叫做e的“模反元素”。欧拉定理可以用来证明模反元素必然存在。两个整数
二、RSA加密
weixin_43234021的博客
10-16 3607
CTF中的RSA及攻击方法笔记1 数论基础1.1 模运算规则2 RSA相关题目2.1 已知 n,e,c m2.2 已知 p,q,e d2.3 已知dp,dq,c,p,q m2.4 仅已知c,c特别大 【c = m^e mod n】2.5 已知n1,n2,c1,c2,n m2.6 已知n1,n2,e,c2 m2.7 已知e,d,N p,q 1 数论基础 参考链接:https://www.freebuf.com/articles/web/257835.html 1.1 模运算规则 模运算与基
ctf-misc总结(二)
weixin_41038905的博客
05-12 2610
文章目录1.已知n,c,e,m2.已知n,c,e=3,爆破3.广播攻击,已知多组n和c4.模不互素,已知两组n,c,e5.共模攻击,已知两组n,c,e,其中n相同6.wiener_attack7.已知n,e,c和nextprime(p)*nextprime(q)8.dp泄露( dp = d%(p-1))9.私钥d低一半比特泄露攻击half_d 词频分析: https://quipqiup.com/ https://www.guballa.de/vigenere-solver RSA题目 from pwn
vscode 装 gmpy2
06-01
首先,gmpy2是一个用于Python中高精度计算的库,它提供了大整数、大有理数、大浮点数等多种数据类型和相应的计算操作。在VSCode中装gmpy2可以通过以下步骤实现: 1. 首先确保你已经安装了Python解释器,并在环境变量中设置了Python的路径。 2. 在VSCode中打开终端,使用以下命令安装gmpy2: ``` pip install gmpy2 ``` 如果你使用的是Python3,则应该使用以下命令: ``` pip3 install gmpy2 ``` 3. 安装完成后,你可以在Python脚本中通过import gmpy2来引入gmpy2库,然后就可以使用其中提供的各种高精度计算函数和数据类型了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值