Crypto_[NPUCTF2020]共 模 攻 击

[NPUCTF2020]共 模 攻 击

题目描述：

hint文件：

from gmpy2 import *
from Crypto.Util.number import *
from secret import hint

m = bytes_to_long(hint)
p = getPrime(256)
c = pow(m, 256, p)
print(p)

p, q = getPrime(256), getPrime(256)
n = p * q
e1, e2 = getPrime(32), getPrime(32)
c1, c2 = pow(c, e1, n), pow(c, e2, n)
print(n)
print(e1, c1)
print(e2, c2)

'''
107316975771284342108362954945096489708900302633734520943905283655283318535709
6807492006219935335233722232024809784434293293172317282814978688931711423939629682224374870233587969960713638310068784415474535033780772766171320461281579
2303413961 1754421169036191391717309256938035960912941109206872374826444526733030696056821731708193270151759843780894750696642659795452787547355043345348714129217723
2622163991 1613454015951555289711148366977297613624544025937559371784736059448454437652633847111272619248126613500028992813732842041018588707201458398726700828844249
'''

先求一求hint是什么。

分析程序，发现算是有两段加密；第二层加密显然是共模攻击即可

第一层加密是$m^{256}\equiv c(modp)$；这里的$p$是只是一个大素数

最先开始以为也是正常的RSA求解，但是求d的时候发现$e=256$与$fai(p)$不互素；求了公约数等于4，本以为当$e/4$之后就可以继续计算但是发现依然$e/4$与$fai(p)$不互素；之后发现$e=256=2^8$也就是说要除以$4^4$之后才满足互素条件…显然用正常的RSA求解行不通

用一个函数sympy.nthroots_mod(c,e,n)可以直接求解$m$​，但是目前我所了解的是这个函数只能用于e不是很大的时候并且正常的RSA求解行不通的时候；

$hint$​

b’m.bit_length() < 400’

再看task.py文件

from gmpy2 import *
from Crypto.Util.number import *
from secret import flag

flag = flag.strip(b"npuctf{").strip(b"}")
m = bytes_to_long(flag)

p, q = getPrime(512), getPrime(512)
n = p * q
e1, e2 = p, q
c1, c2 = pow(m, e1, n), pow(m, e2, n)

print(n)
print(c1)
print(c2)

'''
128205304743751985889679351195836799434324346996129753896234917982647254577214018524580290192396070591032007818847697193260130051396080104704981594190602854241936777324431673564677900773992273463534717009587530152480725448774018550562603894883079711995434332008363470321069097619786793617099517770260029108149
96860654235275202217368130195089839608037558388884522737500611121271571335123981588807994043800468529002147570655597610639680977780779494880330669466389788497046710319213376228391138021976388925171307760030058456934898771589435836261317283743951614505136840364638706914424433566782044926111639955612412134198
9566853166416448316408476072940703716510748416699965603380497338943730666656667456274146023583837768495637484138572090891246105018219222267465595710692705776272469703739932909158740030049375350999465338363044226512016686534246611049299981674236577960786526527933966681954486377462298197949323271904405241585
'''

hint给出flag的字节长度；试着应用Coppersmith定理（在一个e阶的mod n多项式f(x)中，如果有一个根小于$n^{1/e}$​，就可以运用一个O(log n)的算法求出这些根）而所谓的$O(logn)$​的算法是需要自己构造的，题目一般不会给出，构造一个只有m作为未知数的同余式，满足$m<n^{1/e}$​条件即可计算出$m$​​（计算一下得到$m<n^{1/e}=True$​）

试着构造关于$m$的同余式

已知：

$c_1\equiv m^p(modn)$​

$c_2\equiv m^q(modn)$​

应用费马小定理：$a^{p-1}\equiv 1(modp)$

$m^p\equiv m(modp)$

$m^q\equiv m(modq)$

也即

$m^p=m+k_1\ast p$​

$m^q=m+k_2\ast p$

所以

$c_1\equiv m^p\equiv m+k_1\ast p(modn)$​

$c_2\equiv m^q\equiv m+k_2\ast q(modn)$​

也即

$c_1=m+k_1\ast p+k_1^{\prime }\ast p\ast q$

$c_2=m+k_2\ast p+k_2^{\prime }\ast p\ast q$

实际上等价于

$c_1=m+k\ast p$

$c_2=m+k^{\prime }\ast q$

构造关于m的同余式，已知的模数是n，所以要尽量让构造出的m的等式是n的倍数（也就是模n等于0）当然也可以是余数不等于0的情况但是一定要已知余数是多少（这里似乎没有什么数学定理可以应用，大概率就是直接构造一个等式等于n的倍数即可）

$c_1\ast c_2=m^2+(k\ast p+k^{\prime }\ast q)\ast m+k\ast k^{\prime }\ast n$

$m\ast (c_1+c_2)=2m^2+(k\ast p+k^{\prime }\ast q)\ast m$​

合并这两个等式

$m^2-m\ast (c_1+c_2)+c_1\ast c_2=k\ast k^{\prime }\ast n\equiv 0(modn)$

系数已知；进行sage运算

代码实现：

import gmpy2
from Crypto.Util.number import *
from sympy import *
from sympy.polys.polyoptions import Flag
# 求hint
p = 107316975771284342108362954945096489708900302633734520943905283655283318535709
n = 6807492006219935335233722232024809784434293293172317282814978688931711423939629682224374870233587969960713638310068784415474535033780772766171320461281579
e1 = 2303413961 
c1 = 1754421169036191391717309256938035960912941109206872374826444526733030696056821731708193270151759843780894750696642659795452787547355043345348714129217723
e2 = 2622163991 
c2 = 1613454015951555289711148366977297613624544025937559371784736059448454437652633847111272619248126613500028992813732842041018588707201458398726700828844249

_,s,t = gmpy2.gcdext(e1,e2)
c = pow(c1,s,n)*pow(c2,t,n) % n
e = 256
m = nthroot_mod(c,e,p)
print(long_to_bytes(m))
# 错误想法
# fai_p = p - 1
# com = gmpy2.gcd(e,fai_p)
# print(com)
# d = gmpy2.invert(e//com,fai_p)
# m = pow(c,d,p)

# 求flag
n = 128205304743751985889679351195836799434324346996129753896234917982647254577214018524580290192396070591032007818847697193260130051396080104704981594190602854241936777324431673564677900773992273463534717009587530152480725448774018550562603894883079711995434332008363470321069097619786793617099517770260029108149
c1 = 96860654235275202217368130195089839608037558388884522737500611121271571335123981588807994043800468529002147570655597610639680977780779494880330669466389788497046710319213376228391138021976388925171307760030058456934898771589435836261317283743951614505136840364638706914424433566782044926111639955612412134198
c2 = 9566853166416448316408476072940703716510748416699965603380497338943730666656667456274146023583837768495637484138572090891246105018219222267465595710692705776272469703739932909158740030049375350999465338363044226512016686534246611049299981674236577960786526527933966681954486377462298197949323271904405241585

sum = c1 + c2
pro = c1*c2
# sage
# R.<m> = Zmod(n)[]
# f = m^2 - sum*m + pro
# flag = f.smallroots(2^400)[0] #括号内的是根的边界，我们所求的根也就是m，这里hint已经给出了m.bit_length()<400
flag = 4242839043019782000788118887372132807371568279472499477998758466224002905442227156537788110520335652385855
print(long_to_bytes(flag))

思路来源：BUU_NPUCTF2020]共 模 攻 击 - 灰信网（软件开发博客聚合） (freesion.com)