900分的RSA密码学题?不怕,搞起来!!!

最新推荐文章于 2021-12-13 15:22:37 发布
最新推荐文章于 2021-12-13 15:22:37 发布
阅读量333 收藏
点赞数
分类专栏: CTF+密码学 文章标签: 密码学 python rsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45698157/article/details/110478318
版权

Challenge: maglc RSA(953 points)

Description

Alice tried to make RSA encryption more secure by using random numbers. But when I tested the encryption I found a vulnerability. Can you find it ?

enclosure: encrypt.py and output.txt

Solution

output.txt内容:

r = [8369875715811823465, 445158310791574166, 2720555425160593675, 7432270455188990462, 2446251786048361946, 55762871963467021, 7562020044022273693, 4880950714387710915, 1980725435082363925, 6123245747443869158, 4341288451522003293, 3111260810610424680, 4140237704488186322, 8334445125395496182, 5047625506525476652, 1757571238833421910, 9376059903619511820, 6110215991516233738, 2352831123581007803, 9117287170545018735, 9083707904731367018, 1859293174547632281, 2245872203465393980, 4092355223399900664, 8979431278774017347, 4456461600515791560, 2863137587848225810, 5403052783947990466, 3528811102063731114, 2874817484721206679, 8449078310597518955, 11016217750450662607, 11097228115924669078, 10892757142981824109, 9850784794499231027, 5885192258462707887, 5292818685021887106, 4870356470560820389, 9580459175047702840]
c=0xd81666bd36032affaee5abd0c8b08da132ca5780514a69231f93ee5e37008a559a54614eb176ff37cfe88fe2c53a761258c704b912146f5c21c4182eca8bca165ef60be06984dbb650a0624fae7b9ffa696069d90ae856e6844d0fe11c8c4633bf04dc02b2ed87f2948bdb903c83163ff18e99c4a4a8a2ae46cead6a334f9712
n=0xee5ebad033cb6a780b84e957981c249c35cb20af0eb9ea404558b33f7a2637fd1544ee8ebdec95e842a0abbe22b25cc5e2663f1ad4efece9cb4d1222f169c6a1f669b64afa454aa8ef9f378d0498a4c4c4b1055873576f3616a4b09ed4e81cef6d001746b56b4a2ba4db5a52de7343dd057f99bf552e987e3672f2fa7b7797e5

先理解encrypt.py文件内容:

from Crypto.Util.number import getPrime, isPrime, bytes_to_long
from random import getrandbits
from secret import flag

a = getrandbits(64)
b = getrandbits(64)
e = getPrime(64)
r = []
r.append((a*getrandbits(64)+b)%e)
k = 0
while k<len(flag):
        r.append((a*r[k]+b)%e)
        k+=1

p = getPrime(512)
i = 1
while True:
        q = p + i
        if isPrime(q):
                break
        i += 1
n = p*q
m = bytes_to_long(flag)
c = pow(m,e,n)
obj = open('output.txt','w')
obj.write("r = " + str(r) + "\n")
obj.write("c = " + hex(c) + "\n")
obj.write("n = " + hex(n) + "\n")
obj.close()

可以从源码看出,这就是一个典型的RSA加密过程。不过这个过程中,p,q的生成方式存在较大的漏洞。

p = getPrime(512)
i = 1
while True:
        q = p + i
        if isPrime(q):
                break
        i += 1

用上述代码生成p,q会造成一个非常严重的问题,那就是p和q十分相近。而n是已知的,那么就可以在根号n附近寻找p,q。

# 使用这种方式在根号n附近寻找相近的p,q十分好用
from gmpy2 import isqrt square is_square

def calc(n):
    a = isqrt(n)
    r = square(a)-n
    while not is_square(r):
        a += 1
        r = square(a)-n
    return a+isqrt(r),a-isqrt(r)

p,q = calc(n)

既然p,q问题解决了,还剩下e需要我们求解。

e = getPrime(64)
r = []
r.append((a*getrandbits(64)+b)%e)
k = 0
while k<len(flag):
        r.append((a*r[k]+b)%e)
        k+=1

e出现在上述代码中,可以看出它参与了生成r的运算。r是已知的,那么我们可以倒推公式,求算e。

下面开始公式推导:

(a*r0+b)%e = r1
(a*r1+b)%e = r2
(a*r2+b)%e = r3
.......
(a*r n-2+b)%e = r n-1

我们分别使用第下一行式子减去相对自己的上一行式子可得

a*(r1-r0)%e = r2-r1
a*(r2-r1)%e = r3-r2
......
a*(r n-2-r n-3)%e = r n-1-r n-2

我们令r1-r0=t0,r2-r1=t1,依次类推rn-1-rn-2=tn-2

联立1式和2式可得:

a*t0%e = t1
a*t1%e = t2

1式乘t2,2式乘t1可得:

a*(t1·t1-t0·t2)%e =0

所以e|a*(t1·t1-t0·t2),则e|a或e|(t1·t1-t0·t2)。

又因为针对上述每个式子,都存在e|a*(tn-12-tn·tn-2) n=2,3,4,5,…

所以e是(tn-12-tn·tn-2) n=2,3,4,5,… 的最大公因数。

根据多个整数的最大公因数计算公式,我们写出如下代码:

from functools import reduce

def calc_e(r):
    sub = [r1-r0 for r0,r1 in zip([r,r[1:]])]
    a = [t1*t1-t2*t0 for t0,t1,t2 in zip(sub,sub[1:],sub[2:])]
    e = abs(reduce(gcd,a))
    return e

简要介绍一下reduce的用法:

# 导入库函数
from fuctools import reduce

# useage
reduce(function, iterable)

- function 函数(要有两个参数传递)
- 可迭代对象 (列表,元组等)

# Example
def add(x,y):
    return x+y

sum1 = reduce(add,[1,2,3,4,5])

print(sum1)

# 输出1+2+3+4+5的值

现在已经攻破这道题最大的Boss,剩余的就是常规的解决RSA解密问题。这里给出完整的exp脚本。

exp.py:

from Crypto.Util.number import long_to_bytes, inverse
from functools import reduce
from gmpy2 import gcd,invert, isqrt, square, is_square

def calc(n):
    a = isqrt(n)
    r = square(a) - n
    while not is_square(r):
        a += 1
        r = square(a) - n
    return a + isqrt(r), a - isqrt(r)

def calc_e(r):
    sub = [s1 - s0 for s0, s1 in zip(r, r[1:])]
    a = [t1*t1 - t2*t0 for t0, t1, t2 in zip(sub, sub[1:], sub[2:])]
    e = abs(reduce(gcd, a))
    return e

r = [8369875715811823465, 445158310791574166, 2720555425160593675, 7432270455188990462, 2446251786048361946, 55762871963467021, 7562020044022273693, 4880950714387710915, 1980725435082363925, 6123245747443869158, 4341288451522003293, 3111260810610424680, 4140237704488186322, 8334445125395496182, 5047625506525476652, 1757571238833421910, 9376059903619511820, 6110215991516233738, 2352831123581007803, 9117287170545018735, 9083707904731367018, 1859293174547632281, 2245872203465393980, 4092355223399900664, 8979431278774017347, 4456461600515791560, 2863137587848225810, 5403052783947990466, 3528811102063731114, 2874817484721206679, 8449078310597518955, 11016217750450662607, 11097228115924669078, 10892757142981824109, 9850784794499231027, 5885192258462707887, 5292818685021887106, 4870356470560820389, 9580459175047702840]
c=0xd81666bd36032affaee5abd0c8b08da132ca5780514a69231f93ee5e37008a559a54614eb176ff37cfe88fe2c53a761258c704b912146f5c21c4182eca8bca165ef60be06984dbb650a0624fae7b9ffa696069d90ae856e6844d0fe11c8c4633bf04dc02b2ed87f2948bdb903c83163ff18e99c4a4a8a2ae46cead6a334f9712
n=0xee5ebad033cb6a780b84e957981c249c35cb20af0eb9ea404558b33f7a2637fd1544ee8ebdec95e842a0abbe22b25cc5e2663f1ad4efece9cb4d1222f169c6a1f669b64afa454aa8ef9f378d0498a4c4c4b1055873576f3616a4b09ed4e81cef6d001746b56b4a2ba4db5a52de7343dd057f99bf552e987e3672f2fa7b7797e5

p,q = calc(n)
e = calc_e(r)
phi = (p-1)*(q-1)
d = inverse(e,phi)
print(long_to_bytes(pow(c,d,n)))

Flag:BSDCTF{Ah!_w3LL_D0n3_7h475_l1k3_4_pr0}

嘉·沐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF NewStarCTF一些新知识记录
Aiwin的博客
09-21 3172
BUUCTF NewStarCTF一些新知识记录
2021-11-01
m0_57291352的博客
11-01 3089
RSA #!/usr/bin/env python3 import gmpy2 from Crypto.Util.number import getPrime from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 from base64 import b64encode flag = open('flag', 'r').read().strip() * 23 def encrypt(p, q, e, msg):
杭二集训 函数
Welcome to yjjr's blog!
01-15 559
new blog! 标签:积性函数,构造 目 函数(function) 【目描述】 构造一个完全积性函数f(即f(xy)=f(x)f(y)),满足|f(i)|=1,并最小化max1≤k≤n|∑i=1kf(i)|。构造一个完全积性函数f(即f(xy)=f(x)f(y)),满足|f(i)|=1,并最小化max_{1≤k≤n} |\sum_{i=1}^k f(i) |。 【输入数据】
RSA破解运算
06-04
公匙N=1889570071,加密指数e1 = 1021763679,e2 = 519424709 密文c1 = 1244183534 ,c2 = 732959706。
第四届美团网络安全高校挑战赛_hamburgerRSA
M3ng@L的博客
12-13 707
hamburgerRSA 第四届美团网络安全高校挑战赛 Crypto
RSA.rar_Check_ Please!_rsa
09-19
RSA是一种非对称加密算法,它是公钥密码学的一个重要里程碑。这个名为"RSA.rar_Check_ Please!_rsa"的压缩包显然包含了关于在Java环境中实现RSA加密算法的代码,文件名为"RSA.java"。下面将详细介绍RSA算法及其在...
RSAC.zip_Help!_rsac++
09-22
RSA是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,是现代密码学的基石之一。它的主要特点是使用一对公钥和私钥,公钥可以公开,用于加密数据;私钥必须保密,用于解密数据。RSA的...
RSA.rar_rsa_密码学 算法_密码学RSA
最新发布
09-23
RSA算法是公钥密码学中的一个经典算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,因此得名RSA。它在信息安全领域扮演着至关重要的角色,广泛应用于数据加密、数字签名以及密钥交换等领域。 RSA的...
RSA.rar_RSA算法_rsa_密码学RSA
09-22
RSA算法是公钥密码学中的一个里程碑式发明,由Ron Rivest、Adi Shamir和 Leonard Adleman 在1977年提出,因此得名RSA。它是一种非对称加密算法,即加密和解密使用的是两把不同的密钥,一把是公开的公钥,另一把是...
应用密码学答案.zip
09-07
本压缩包文件“应用密码学答案.zip”包含的是关于应用密码学的习解答,覆盖了从第1章到第15章的内容,为学习者提供了一个深入理解该领域的资源。 1. 密码学基础:章节1通常会介绍密码学的基本概念,如明文、...
2019强网杯 - 密码学-RSA-Coppersmith
BlusKing
05-28 1万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
buu RSA & what(base64隐写术)
weixin_44110537的博客
07-16 909
文件 加密脚本 from Crypto.Util.number import bytes_to_long, getPrime from random import randint from gmpy2 import powmod p = getPrime(2048) q = getPrime(2048) N = p*q Phi = (p-1)*(q-1) def get_enc_key(N,Phi): e = getPrime(N) if Phi % e == 0: re
BUU-crypto-刷记录13
m0_57291352的博客
06-30 468
[NCTF2019]childRSA 目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes)
CTF——Crypto密码学型总结
hahaha233330的博客
10-26 2万+
积累一下 CTF 中 crypto 密码类的型。 感谢 BugKu 提供了很多加解密工具,链接:http://tool.bugku.com/ 感谢 SSL在线工具网址提供了很多工具,链接:http://www.ssleye.com/ 个人常用的 text bin hex base64 dec 转码工具:https://conv.darkbyte.ru/   1. 摩斯密码 特征:点和横的组合...
GetPrime
weixin_30236595的博客
03-16 5567
public class GetPrime { public static void main(String[] args) { // TODO 自动生成的方法存根 int a,b = 0,c = 0; a=Integer.parseInt(args[0]); a=Integer.parseInt(args[1]); a=Integer.parseInt(args[2]); boo...
CTF密码学RSA学习以及总结
热门推荐
test
10-05 5万+
关于CTF中RSA学习笔记 RSA简介 为了方便理解,先对RSA密钥体制做个简略的介绍。 选择两个大的参数,计算出模数 N = p * q 计算欧拉函数 φ = (p-1) * (q-1),然后选择一个e(1&amp;amp;amp;amp;lt;e&amp;amp;amp;amp;lt;φ),并且e和φ互质(互质:公约数只有1的两个整数) 取e的模反数d,计算方法为:e * d ≡ 1 (mod φ) (模反元素:如果两个正整数e和n互质,那么一定可以...
RSA加密算法计算
weixin_34138377的博客
04-29 1万+
1、假设p=5,q=7,e=5,m=2.计算d,公钥,私钥。方法一:n=p*q=5*7=35Φ(n)=(p-1)*(q-1)=4*6=24由公式:e d mod Φ(n)=== 1 带入数字得:5 d mod 24 ===1把上诉公式看成:5x+24y = 1拆:24 = 5*4+45 = 4*1+14 = 24 - 5*4*11 = 5 - (24-5*4)*1 = ...
简单RSA算法
WangLal的博客
02-28 2441
RSA 最近在涅普科技的网课下学习了RSA。来总结一下。 在去了解RSA的前提下,我们需要一些数论基础。 mod是取余函数,a mod b表示a 对 b取余 同余:若 a,b为两个整数且它们的差能被某个自然数 n 所 整除则称 a 就模 n 来说同余于 b,或者说 a 和 b关于模 n 同余,也可以说a和b对n的余数是相同的。 可以记为a ≡ b(mod n) 模逆元: 模逆元也称为模倒数。 一整数A对同余 N之模逆元是指满足以下公式的整数 A^-1≡ B(mod n) 也可以为A*B ≡ 1 mod n
RSA
wwh的博客
11-13 8897
人:胡凌洋 解组:吴航 胡凌洋 张佳豪 目源码: p=getPrime(1024) q=getPrime(1024) e=65537 n1=p*q m=bytes_to_long(flag) c1=pow(m,e,n1) print (c1,e,n1) p=getPrime(1024) e=65537 n2=p*q m=bytes_to_long("1"*32) c2=pow (...
公钥密码学基础:RSA与Diffie-Hellman
"北大密码学第9章 - 公钥密码学RSA" 在密码学领域,公钥密码体制,又称双钥密码体制或非对称密码体制,是由W. Diffie和M. E. Hellman在1976年提出的一种革命性的加密技术。这一概念的引入彻底改变了传统密码学中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

嘉·沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值