Crypto_[羊城杯 2020]RRRRRRRSA

最新推荐文章于 2023-03-08 14:03:52 发布
最新推荐文章于 2023-03-08 14:03:52 发布
阅读量803 收藏 2
点赞数 5
分类专栏: CTF比赛复现 文章标签: 密码学 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/121800073
版权

RSA 维纳攻击 扩展欧几里得算法 连分数 素数
关键词由CSDN通过智能技术生成

[羊城杯 2020]RRRRRRRSA

题目描述

import hashlib
import sympy
from Crypto.Util.number import *

flag = 'GWHT{************}'

flag1 = flag[:19].encode()
flag2 = flag[19:].encode()
assert(len(flag) == 38)

P1 = getPrime(1038)
P2 = sympy.nextprime(P1)
assert(P2 - P1 < 1000)

Q1 = getPrime(512)
Q2 = sympy.nextprime(Q1)

N1 = P1 * P1 * Q1
N2 = P2 * P2 * Q2

E1 = getPrime(1024)
E2 = sympy.nextprime(E1)

m1 = bytes_to_long(flag1)
m2 = bytes_to_long(flag2)

c1 = pow(m1, E1, N1)
c2 = pow(m2, E2, N2)


output = open('secret', 'w')
output.write('N1=' + str(N1) + '\n')
output.write('c1=' + str(c1) + '\n')
output.write('E1=' + str(E1) + '\n')
output.write('N2=' + str(N2) + '\n')
output.write('c2=' + str(c2) + '\n')
output.write('E2=' + str(E2) + '\n')
output.close()

分析程序

感觉是正常的RSA的加密过程

N 1 = p 1 ∗ p 1 ∗ q 1 N1=p1*p1*q1 N1=p1p1q1

N 2 = p 2 ∗ p 2 ∗ q 2 N2=p2*p2*q2 N2=p2p2q2

注意条件:

p 1 p1 p1 p 2 p2 p2是相邻的素数,且两者差值小于1000

q 1 q1 q1 q 2 q2 q2也是相邻的素数

换而言之, p 1 / p 2 ≈ 1 p1/p2\approx 1 p1/p21

看到两个数的比例接近于1,这里有一个相关比例接近的攻击方式维纳攻击

传统的维纳攻击

e ∗ d ≡ 1 ( m o d   f a i ( n ) ) e*d\equiv 1 (mod~fai(n)) ed1(mod fai(n))

e ∗ d − 1 = k ∗ f a i ( n ) e*d-1=k*fai(n) ed1=kfai(n)

等式两边同时除以 d ∗ f a i ( n ) d*fai(n) dfai(n)

得到

e f a i ( n ) − k d = 1 d ∗ f a i ( n ) \frac{e}{fai(n)}-\frac{k}{d}=\frac{1}{d*fai(n)} fai(n)edk=dfai(n)1

f a i ( n ) ≈ N fai(n)\approx N fai(n)N

e N − k d = 1 d ∗ N \frac{e}{N}-\frac{k}{d}=\frac{1}{d*N} Nedk=dN1

显然 1 d ∗ N ≈ 0 \frac{1}{d*N}\approx 0 dN10

又公钥 ( e , N ) (e,N) (e,N)已知

根据维纳攻击的相关定理:

Continued Fractions’Convergents

Let y = r / s y = r/s y=r/s​ be any rational such that ∣ r / s − x ∣ < 1 / ( 2 ∗ s 2 ) | r/s − x| < 1 /(2*s^2) r/sx<1/(2s2)​ . Then y y y is equal to one of the convergents of x , i . e x, i.e x,i.e. y = y i y = y_i y=yi for some i ∈ { 1 , . . . , n } i ∈ \{1,...,n\} i{1,...,n}​.

也就是说, e N \frac{e}{N} Ne​的连分数展开式的收敛到某一位会等于 k d \frac{k}{d} dk

当且仅当 ∣ e N − k d ∣ < 1 2 ∗ d 2 |\frac{e}{N}-\frac{k}{d}|<\frac{1}{2*d^2} Nedk<2d21

从上面的“当且仅当”的条件我们对比出

这道题显然 e > N e>N e>N​所以 e N − k d \frac{e}{N}-\frac{k}{d} Nedk​不能很肯定地说一定满足条件

本题应用的维纳攻击方式

但是这里我们可以用另外一个相近比例

N 1 N 2 ≈ Q 1 Q 2 \frac{N1}{N2}\approx \frac{Q1}{Q2} N2N1Q2Q1​​

那为什么我们不用 N 1 N 2 ≈ P 1 P 2 \frac{N1}{N2}\approx \frac{P1}{P2} N2N1P2P1​呢

我们可以来比较一下

N 1 N 2 = P 1 2 P 2 2 ∗ Q 1 Q 2 \frac{N1}{N2}=\frac{P1^2}{P2^2}*\frac{Q1}{Q2} N2N1=P22P12Q2Q1

  • 如果我们使用 N 1 N 2 ≈ Q 1 Q 2 \frac{N1}{N2}\approx \frac{Q1}{Q2} N2N1Q2Q1

那么可以写做 N 1 N 2 = P 1 2 P 2 2 ∗ Q 1 Q 2 \frac{N1}{N2}=\frac{P1^2}{P2^2}*\frac{Q1}{Q2} N2N1=P22P12Q2Q1

这就意味着 N 1 N 2 \frac{N1}{N2} N2N1 Q 1 Q 2 \frac{Q1}{Q2} Q2Q1的比值为 ( P 1 P 2 ) 2 (\frac{P1}{P2})^2 (P2P1)2

P 1 P1 P1 P 2 P2 P2的差值小于1000

  • 如果使用 N 1 N 2 ≈ P 1 P 2 \frac{N1}{N2}\approx \frac{P1}{P2} N2N1P2P1

那么写作 N 1 N 2 = P 1 P 2 ∗ Q 1 Q 2 ∗ P 1 P 2 \frac{N1}{N2}=\frac{P1}{P2}*\frac{Q1}{Q2}*\frac{P1}{P2} N2N1=P2P1Q2Q1P2P1

那么 N 1 N 2 \frac{N1}{N2} N2N1 P 1 P 2 \frac{P1}{P2} P2P1的比值为 P 1 P 2 ∗ Q 1 Q 2 \frac{P1}{P2}*\frac{Q1}{Q2} P2P1Q2Q1

  • 显然当两者的比值越小时,两者的差值越小

由已知条件( P 2 − P 1 < 1000 P2-P1<1000 P2P1<1000)我们可以知道 ( P 1 P 2 ) 2 (\frac{P1}{P2})^2 (P2P1)2很可能小于(不能确定) P 1 P 2 ∗ Q 1 Q 2 \frac{P1}{P2}*\frac{Q1}{Q2} P2P1Q2Q1

所以我们优先选择 N 1 N 2 ≈ Q 1 Q 2 \frac{N1}{N2}\approx \frac{Q1}{Q2} N2N1Q2Q1

  • 另外还有一点

选择 N 1 N 2 ≈ P 1 P 2 \frac{N1}{N2}\approx \frac{P1}{P2} N2N1P2P1可以进行维纳攻击的前提条件是:

∣ N 1 N 2 − P 1 P 2 ∣ < 1 2 ∗ P 2 2 |\frac{N1}{N2}-\frac{P1}{P2}|<\frac{1}{2*P_2^2} N2N1P2P1<2P221

而选择 N 1 N 2 ≈ Q 1 Q 2 \frac{N1}{N2}\approx \frac{Q1}{Q2} N2N1Q2Q1​可以进行维纳攻击的前提条件是:

∣ N 1 N 2 − Q 1 Q 2 ∣ < 1 2 ∗ Q 2 2 |\frac{N1}{N2}-\frac{Q1}{Q2}|<\frac{1}{2*Q_2^2} N2N1Q2Q1<2Q221

通过看加密程序我们可以知道

Q1 = getPrime(512)
Q2 = sympy.nextprime(Q1)
P1 = getPrime(1038)
P2 = sympy.nextprime(P1)

显然选择 N 1 N 2 ≈ P 1 P 2 \frac{N1}{N2}\approx \frac{P1}{P2} N2N1P2P1的前提条件更苛刻( 1 2 ∗ P 2 2 < 1 2 ∗ Q 2 2 \frac{1}{2*P_2^2}<\frac{1}{2*Q_2^2} 2P221<2Q221

已知 N 1 , N 2 N1,N2 N1,N2

把它换做连分数形式

这里应用扩展欧几里得算法和连分数之间的联系

x = a 1 ∗ y + r 1 x=a_1*y+r_1 x=a1y+r1​​​​​

x = a 2 ∗ r 1 + r 2 x=a_2*r_1+r_2 x=a2r1+r2​​

r 1 = a 3 ∗ r 2 + r 3 r_1=a_3*r_2+r_3 r1=a3r2+r3

连分数:

x / y = a 1 + 1 a 2 + 1 a 3 + . . . x/y=a_1+\frac{1}{a_2+\frac{1}{a_3+...}} x/y=a1+a2+a3+...11​​

相信大家已经看出两者的联系了

这里开始想办法使用python实现将分数转换为连分数,并且分别输出分子,分母

先使用扩展欧几里得算法获得每次辗转相除法得到的 a 1 , a 2 , a 3 . . . a_1,a_2,a_3... a1,a2,a3...

def exgcd(x,y):
	result = []
	if y > x:
		x,y = y,x
	while y:
		result.append(x//y)
		x,y = y,x % y
     return result

然后使用 a 1 , a 2 , a 3 . . . a_1,a_2,a_3... a1,a2,a3...​​​​形成 x / y x/y x/y​​​​的连分数

for n in range(1,len(result)):
	temp = result[:n]
	num = 0 # 分子初始化
	deno = 1 # 分母初始化
	for i in temp[::-1]:
		num,deno = deno,deno*i + num

这里求解分子,分母的过程显得有点点难以理解,可以自己随便找两个例子推一推。

再将这里第二个for循环中赋值得到的分子和分母去进行下一步比较:

类比传统的维纳攻击中的判断条件 ( e ∗ d − 1 ) % k = = 0 (e*d-1)\%k==0 (ed1)%k==0

N 1   %   d e n o = 0 N1 ~\%~deno=0 N1 % deno=0​且 d e n o ≠ 1 deno\neq 1 deno=1​即可认定这个 d e n o deno deno​为 Q 1 Q1 Q1

得到了 Q 1 Q1 Q1​后面的就是正常的RSA求解了

代码实现

from Crypto.Util.number import *
import gmpy2,sympy

N1=60143104944034567859993561862949071559877219267755259679749062284763163484947626697494729046430386559610613113754453726683312513915610558734802079868190554644983911078936369464590301246394586190666760362763580192139772729890492729488892169933099057105842090125200369295070365451134781912223048179092058016446222199742919885472867511334714233086339832790286482634562102936600597781342756061479024744312357407750731307860842457299116947352106025529309727703385914891200109853084742321655388368371397596144557614128458065859276522963419738435137978069417053712567764148183279165963454266011754149684758060746773409666706463583389316772088889398359242197165140562147489286818190852679930372669254697353483887004105934649944725189954685412228899457155711301864163839538810653626724347
c1=55094296873556883585060020895253176070835143350249581136609315815308788255684072804968957510292559743192424646169207794748893753882418256401223641287546922358162629295622258913168323493447075410872354874300793298956869374606043622559405978242734950156459436487837698668489891733875650048466360950142617732135781244969524095348835624828008115829566644654403962285001724209210887446203934276651265377137788183939798543755386888532680013170540716736656670269251318800501517579803401154996881233025210176293554542024052540093890387437964747460765498713092018160196637928204190194154199389276666685436565665236397481709703644555328705818892269499380797044554054118656321389474821224725533693520856047736578402581854165941599254178019515615183102894716647680969742744705218868455450832
E1=125932919717342481428108392434488550259190856475011752106073050593074410065655587870702051419898088541590032209854048032649625269856337901048406066968337289491951404384300466543616578679539808215698754491076340386697518948419895268049696498272031094236309803803729823608854215226233796069683774155739820423103
N2=60143104944034567859993561862949071559877219267755259679749062284763163484947626697494729046430386559610613113754453726683312513915610558734802079868195633647431732875392121458684331843306730889424418620069322578265236351407591029338519809538995249896905137642342435659572917714183543305243715664380787797562011006398730320980994747939791561885622949912698246701769321430325902912003041678774440704056597862093530981040696872522868921139041247362592257285423948870944137019745161211585845927019259709501237550818918272189606436413992759328318871765171844153527424347985462767028135376552302463861324408178183842139330244906606776359050482977256728910278687996106152971028878653123533559760167711270265171441623056873903669918694259043580017081671349232051870716493557434517579121
c2=39328446140156257571484184713861319722905864197556720730852773059147902283123252767651430278357950872626778348596897711320942449693270603776870301102881405303651558719085454281142395652056217241751656631812580544180434349840236919765433122389116860827593711593732385562328255759509355298662361508611531972386995239908513273236239858854586845849686865360780290350287139092143587037396801704351692736985955152935601987758859759421886670907735120137698039900161327397951758852875291442188850946273771733011504922325622240838288097946309825051094566685479503461938502373520983684296658971700922069426788236476575236189040102848418547634290214175167767431475003216056701094275899211419979340802711684989710130215926526387138538819531199810841475218142606691152928236362534181622201347
E2=125932919717342481428108392434488550259190856475011752106073050593074410065655587870702051419898088541590032209854048032649625269856337901048406066968337289491951404384300466543616578679539808215698754491076340386697518948419895268049696498272031094236309803803729823608854215226233796069683774155739820425393

def exgcd(x,y):
    mult = []
    if y > x:
        x,y = y,x
    while y:
        mult.append(x//y)
        x,y = y,x % y
    return mult

mult = exgcd(N2,N1) # N1<N2

for n in range(len(mult)):
    temp = mult[:n]
    num = 0 # 分子
    deno = 1 # 分母
    for x in temp[::-1]:
        num,deno = deno, deno * x + num
    if N2 % deno == 0 and deno != 1:
        Q2 = deno
        print(Q2)
        break
Q1 = sympy.prevprime(Q2)
P1 = gmpy2.iroot(N1 // Q1,2)[0]
P2 = gmpy2.iroot(N2 // Q2,2)[0]
fai_n1 = (P1-1)*P1*(Q1-1)
fai_n2 = (P2-1)*P2*(Q2-1)
d1 = gmpy2.invert(E1,fai_n1)
d2 = gmpy2.invert(E2,fai_n2)
m1 = pow(c1,d1,N1)
m2 = pow(c2,d2,N2)
print(bytes.decode(long_to_bytes(m1)),end="")
print(bytes.decode(long_to_bytes(m2)))

参考文章

Wiener’s Attack Ride(维纳攻击法驾驭) - 知乎 (zhihu.com)

(60条消息) 密码学硬核笔记——扩展维纳攻击_Gm1y’s Blog-CSDN博客_扩展维纳攻击

(60条消息) RSA攻击之wiener攻击_oumeixi_wjp的专栏-CSDN博客_wiener攻击

LNCS 3386 - Converse Results to the Wiener Attack on RSA (springer.com)

M3ng@L
关注
专栏目录
羊城 Crypto RRRRRRRSA (连分数,低解密指数攻击原理)
weixin_44110537的博客
09-13 3224
题面 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{************}' flag1 = flag[:19].encode() flag2 = flag[19:].encode() assert(len(flag) == 38) P1 = getPrime(1038) P2 = sympy.nextprime(P1) assert(P2 - P1 < 1000) Q1 = getPri
[羊城 2020]RRRRRRRSA
m0_57291352的博客
08-01 406
[羊城 2020]RRRRRRRSA 题目 import hashlib import sympy from Crypto.Util.number import * flag = 'GWHT{************}' flag1 = flag[:19].encode() flag2 = flag[19:].encode() assert(len(flag) == 38) P1 = getPrime(1038) P2 = sympy.nextprime(P1) assert(P2 - P1 &lt
[羊城 2020]RRRRRRRSA 题解(wiener attack运用)
a5555678744的博客
06-08 3515
简介 自己写脚本搞定这道题有助于理解wiener attack,在多种关于RSA攻击方法中,这种方法算是比较难理解的一种,本题设计还是比较有意思的,算是该攻击方式的一个灵活运用,单纯依靠现成脚本也是不行的,必须学会wiener attack的原理才能顺利解决该问题。 原理阐述 wiener attack 是依靠连分数进行的攻击方式,适用于非常接近某一值(比如1)时,求一个比例关系,通过该比例关系再来反推关键信息就简单很多。这种攻击对于解密指数d很小时有很好的效果,一般的用法是通过 ed mod phi(N)
crypto_callback等三个动态库.zip
01-12
crypto.dll、crypto_callback.dll、otp_test_engine.dll,解决emqx start运行无反应问题,下载后解压缩,替换D:\emqx\lib\crypto-4.7\priv\lib下的原来的文件即可解决问题
Yum中报错:“pycurl.so: undefined symbol: CRYPTO_num_locks”的问题排查
01-10
/usr/lib64/python2.7/site-packages/pycurl.so: undefined symbol: CRYPTO_num_locks ldd /usr/lib64/python2.7/site-packages/pycurl.so 查看一下动态库连接 注意:libcurl的位置 查看一下libcurl是否有什么...
crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI
09-14
本文将深入探讨标题为“crypto_cryptoapi.rar_CRYPTO_Crypto++_cryptoAPI”的主题,该主题涉及到一个用C++编写的加密库,用于封装微软的CryptoAPI(Cryptographic Application Programming Interface)。这个压缩包...
Crypto.zip_CRYPTO_Crypto++_mfc sample crypto_terriblent3_zip
07-14
标题 "Crypto.zip_CRYPTO_Crypto++_mfc sample crypto_terriblent3_zip" 提到的是一个包含加密示例代码的压缩文件,其中可能包括使用Crypto++库和MFC(Microsoft Foundation Classes)进行加密操作的代码。Crypto++...
STM32CubeExpansion_Crypto_V4.0.0.zip
07-12
STM32CubeExpansion_Crypto_V4.0.0.zip 是一个专门为STM32微控制器提供的加密库升级包,适用于各种基于STM32的嵌入式系统开发。该库的版本号为4.0.0,发布日期为2021年7月,是STM32加密技术的最新版本,确保了安全性...
2020YCBCTF:2020羊城官方writeup及
03-24
20202020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
crypto-CSTPC(羊城 2020)
耐酸碱高温固化材料近距离传输研究
12-06 431
一道比较新颖的RSA题目,记录一下。题目源码code是一份使用libcst将python代码转换成语法树的结果:https://gitee.com/shanzhuer/YCB2020CTF/blob/main/wp/crypto/CSTPC/code研究了好几天如何从tree格式还原python源码,今天终于灵光一现可以像这样: https://gitee.com/shanzhuer/YCB2020CTF/blob/main/wp/crypto/CSTPC/re.py反编译出来大概是这样一个程序: 大概分析
Wiener’s attack python
weixin_30419799的博客
12-19 1262
题目如下: 在不分解n的前提下,求d。 给定: e = 14058695417015334071588010346586749790539913287499707802938898719199384604316115908373997739604466972535533733290829894940306314501336291780396644520926473 ...
BUUCTF Reverse/[羊城 2020]easyre
ookami6497的博客
01-27 1295
IDA打开分析代码,又是一个字符串比较的问题,输入flag,对flag加密三次,flag的长度为38 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax int v4; // eax int v5; // eax char flag[48]; // [rsp+20h] [rbp-60h] BYREF char flag_encode_3[..
BUUCTF-[羊城 2020]Bytecode
weixin_61154173的博客
03-07 419
字节码手撕 刚开始看别人的wp,我以为有什么工具可以还原python源码,原来他们可能都是自己看出来的。根据上面的手工还原链接,连看再猜应该比较容易一些。因为这题有很多未知解,所以很容易想到用z3约束器。这道题是一个关于python字节码的。
BUUCTF[羊城2020]easyphp
snowlyzz的博客
08-21 808
刷题记录
BUUCTF [羊城 2020]easyre 题解
OrientalGlass的博客
03-08 1053
对数字和字母移三位,其他特殊字符不变,要求出加密前的字符串,只需要对数字+7再mod10,对字母+23再mod26,有点补码的感觉在。看到主函数的str2大概就可以猜到是base64,ctrl+f12也可以看到存在base64表。进入该函数后大概看一下不难发现是base64加密并且这题没有换表操作。第三次加密是将code2内的数字和字母移3位,其他字符不变。第一次加密是base64加密,得到code1。三.encode_one_base64。五.encode_three。四.encode_two。
[羊城 2020]GMC
qq_52193383的博客
08-13 457
分析代码,发现x 的生成涉及到平方剩余。利用雅可比符号可表示为(\dfrac{x}{p})(\dfrac{x}{q})=-1。y_i是模 n 的平方剩余,于是利用雅可比符号的可乘性,上面两个式子是否平方剩余可表示为。羊城 2020]GMC题解_mortal15的博客-CSDN博客。根据雅可比的值的不同,推出flag。[羊城 2020]GMC。......
CTF Crypto ---已知p**2+q**2且e值较小
3tefanie丶zhou的博客
09-16 1266
【男子年轻时候,总是想着自己有什么,就给女子什么,这没什么不好的。不同的岁月,不同的情爱,各有千秋,没有高下之分,好坏之别。人生无遗憾,太过圆满,事事无错,反而不美,就很难让人年老之后,时时惦念了。
static inline struct crypto_async_request *crypto_get_backlog
最新发布
03-29
The function `crypto_get_backlog` is defined as a static inline function that returns a pointer to a `struct crypto_async_request` object. This function is used to retrieve the backlog of asynchronous...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值