RSA由密文解密的奇偶性确定原始明文

最新推荐文章于 2023-11-09 20:51:37 发布
最新推荐文章于 2023-11-09 20:51:37 发布
阅读量1.3k 收藏
点赞数 4
分类专栏: CTF比赛复现 文章标签: python Crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/123808105
版权

RSA由密文解密的奇偶性确定原始明文

k e y w o r d s : keywords: keywords: XCTF 4th-QCTF-2018-babyrsa

P r o b l m e Problme Problme

'''
Baby RSA
e = 0x10001
n = 0x0b765daa79117afe1a77da7ff8122872bbcbddb322bb078fe0786dc40c9033fadd639adc48c3f2627fb7cb59bb0658707fe516967464439bdec2d6479fa3745f57c0a5ca255812f0884978b2a8aaeb750e0228cbe28a1e5a63bf0309b32a577eecea66f7610a9a4e720649129e9dc2115db9d4f34dc17f8b0806213c035e22f2c5054ae584b440def00afbccd458d020cae5fd1138be6507bc0b1a10da7e75def484c5fc1fcb13d11be691670cf38b487de9c4bde6c2c689be5adab08b486599b619a0790c0b2d70c9c461346966bcbae53c5007d0146fc520fa6e3106fbfc89905220778870a7119831c17f98628563ca020652d18d72203529a784ca73716db
c = 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
'''

提供了nc链接地址,简单把c传入得到

C:\Users\Menglin>nc 111.200.241.244 62431
----------------------------- baby rsa -----------------------------
Come and Decode your data
If you give me ciphertext, I can tell you whether decoded data is even or odd
You can input ciphertext(hexdecimal) now
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
odd

A n a l y s i s Analysis Analysis

提供的n,c,e是正常的RSA的公钥以及密文;那么突破重点便是nc链接服务端的作用

If you give me ciphertext, I can tell you whether decoded data is even or odd

以上是服务端脚本的作用解释,其作用就是把使用本题中的(n,e)作为公钥生成的密文解密得到的数值判断奇偶性并返回

但是这里关于(n,e)生成的密文只有c,我们怎么使用这个条件呢

在模n的条件下改变c的大小,并且能够改变其奇偶性: c = c ⋅ 2 e ( m o d n ) c=c\cdot 2^e\pmod n c=c2e(modn)

上述等式的作用是解出的明文相当于原来明文的两倍
c 1 ≡ c 0 ⋅ 2 e ( m o d n ) m 1 ≡ c 1 d ( m o d n ) ⇒ m 1 ≡ m 0 c ⋅ d ⋅ 2 e ⋅ d ( m o d n ) ⇒ m 1 ≡ m 0 ⋅ 2 ( m o d n ) c_1\equiv c_0\cdot 2^e\pmod n\\ m_1 \equiv c_1^d \pmod n\\ \Rightarrow m_1 \equiv m_0^{c\cdot d}\cdot 2^{e\cdot d}\pmod n\\ \Rightarrow m_1\equiv m_0 \cdot 2\pmod n c1c02e(modn)m1c1d(modn)m1m0cd2ed(modn)m1m02(modn)
而我们可以发现原来的c解密之后明文flag奇偶性为odd,即为奇数

如果奇数乘以 2 2 2,结果一定为偶数;但是如果是在模 n n n的情况下则不一定,当 ( c 0 ⋅ 2 e ) d = 2 ⋅ m 0 > n (c_0\cdot 2^e)^d=2\cdot m_0>n (c02e)d=2m0>n,首先由于 0 < c 0 < n 0<c_0<n 0<c0<n,那么最后返回的 m 1 ≡ 2 ⋅ m 0 ( m o d n ) m_1\equiv 2\cdot m_0\pmod n m12m0(modn)等价于 2 ⋅ m 0 − n 2\cdot m_0-n 2m0n;而由于一般RSA的 n n n是由两个大素数相乘生成的(只要是素数相乘都一样),所以 n n n必定是奇数,原来的 m 0 m_0 m0乘以 2 2 2等于一个偶数even,当ta减去一个奇数之后结果等于奇数,这样就与 2 ⋅ m 0 < n 2\cdot m_0<n 2m0<n的情况区别开来了(该情况的结果是模n之后等于偶数even

这样区别开来的作用是

当传入 c 1 ≡ c 0 ⋅ 2 e ( m o d n ) c_1\equiv c_0 \cdot 2^e\pmod n c1c02e(modn)的结果 c 1 c_1 c1之后,服务端返回结果为odd,那么意味着, n < 2 ⋅ m 0 < 2 ⋅ n n<2\cdot m_0<2\cdot n n<2m0<2n,也就意味这 n 2 < m 0 < n \frac{n}{2}<m_0<n 2n<m0<n;这样就缩小了原始明文 m 0 m_0 m0的大小范围

当传入 c 1 ≡ c 0 ⋅ 2 e ( m o d n ) c_1\equiv c_0 \cdot 2^e\pmod n c1c02e(modn)的结果 c 1 c_1 c1之后,服务端返回结果为even,那么意味着, 0 < 2 ⋅ m 0 < n 0<2\cdot m_0<n 0<2m0<n,等价于 0 < m 0 < n 2 0<m_0<\frac{n}{2} 0<m0<2n;同样也缩小了原始明文 m 0 m_0 m0的大小范围

当计算完 c 1 c_1 c1之后,在 c 1 c_1 c1的基础上继续进行 c 2 ≡ c 1 ⋅ 2 e ( m o d n ) c_2\equiv c_1 \cdot 2^e\pmod n c2c12e(modn),解密之后也就等价于 4 ⋅ m 0 4\cdot m_0 4m0,继续判断奇偶性就可以进一步缩小原始明文 m 0 m_0 m0的大小范围;以此类推,最后将原始明文的大小范围缩小到只有一个值,那么便是原始明文的值

并且缩小的范围相当于 u p p e r + l o w e r 2 \frac{upper+lower}{2} 2upper+lower

注意一点是这里服务端的脚本将传入的数值进行了转换,可能是这样的

input = int(input,16)

那么就意味着传入的数值c必须是hex十六进制形式的

怎么看出来的呢?因为

>>>int("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",16)
10000168328337586723723875929199426704755546201195615734523254693814039765906148543232611129765509088000736956851520022537085658495744583517648184152998168309758485546037306528320166722634787751788563573939958617061265638476529095277032847794703409537505203594204567151328850116513909550356213958708966751554276850944050261394701167302379584172517413175668997227366580985191901168830374739189734903482208079680206788635600160218616793118994764212910484101984483101655772133593536065667175866557356425850372486695596296455668658676150338420608042931515767744544733279970819343643596659567320755262783035393928843439072
---
C:\Users\Menglin>nc 111.200.241.244 62431
----------------------------- baby rsa -----------------------------
Come and Decode your data
If you give me ciphertext, I can tell you whether decoded data is even or odd
You can input ciphertext(hexdecimal) now
10000168328337586723723875929199426704755546201195615734523254693814039765906148543232611129765509088000736956851520022537085658495744583517648184152998168309758485546037306528320166722634787751788563573939958617061265638476529095277032847794703409537505203594204567151328850116513909550356213958708966751554276850944050261394701167302379584172517413175668997227366580985191901168830374739189734903482208079680206788635600160218616793118994764212910484101984483101655772133593536065667175866557356425850372486695596296455668658676150338420608042931515767744544733279970819343643596659567320755262783035393928843439072
even

得到的结果与传入十六进制时不同,所以得到上述结果

而Python会自动把十六进制转换为十进制再进行进一步操作,所以最后上传时需要再一次手动转换十六进制才行

>>> c = 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
>>> c
10000168328337586723723875929199426704755546201195615734523254693814039765906148543232611129765509088000736956851520022537085658495744583517648184152998168309758485546037306528320166722634787751788563573939958617061265638476529095277032847794703409537505203594204567151328850116513909550356213958708966751554276850944050261394701167302379584172517413175668997227366580985191901168830374739189734903482208079680206788635600160218616793118994764212910484101984483101655772133593536065667175866557356425850372486695596296455668658676150338420608042931515767744544733279970819343643596659567320755262783035393928843439072

所以我们需要

c = 0x...
io.sendline(hex(c))

另外由于时常有网络波动(本题需要不断重复链接服务端),所以加入了try,except语句保证因为网络波动断开了连接之后继续进行连接计算

S o l v i n g   c o d e Solving~code Solving code

from Crypto.Util.number import *
import gmpy2
from pwn import *
e = 0x10001
n = 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
c = int("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",16)
m_upper = n
m_lower = 0
while True:
    try:
        io = remote("111.200.241.244","62431")
        io.recvuntil(b"now")
        c = (c * pow(2,e,n)) % n
        io.sendline(hex(c))
        output = io.recvall().strip().decode()
        if output == "even":
            m_upper = (m_upper + m_lower) // 2
        elif output == "odd":
            m_lower = (m_upper + m_lower) // 2 
        print(m_upper)
        if m_upper == m_lower:
            print(long_to_bytes(m_upper))
            print(long_to_bytes(m_lower))
            break
    except:
        io = remote("111.200.241.244","62431")
        io.recvuntil(b"now")
        c = (c * pow(2,e,n)) % n
        io.sendline(hex(c))
        output = io.recvall().strip().decode()
        if output == "even":
            m_upper = (m_upper + m_lower) // 2
        elif output == "odd":
            m_lower = (m_upper + m_lower) // 2 
        print(m_upper)
        if m_upper == m_lower:
            print(long_to_bytes(m_upper))
            break

当然也可以def解密函数,代码会更简洁一些

R e f e r e n c e Reference Reference

QCTF 2018线上赛 writeup - 蝉时雨 - 博客园 (cnblogs.com)

XCTF-4th-QCTF-2018-babyrsa - 芒果的小站 (mangofeng.cn)

M3ng@L
关注
专栏目录
自考计算机网络安全 第三章
weixin_43660570的博客
04-02 1761
自考计算机网络安全 第三章’ 信息加密与PKI 一 识记 1 明文密文丶密钥丶加密算法丶解密算法的基本概念 明文(Plaintext) 是作为加密输入的原始信息,即消息的原始形式,一般用M或P表示. 密文(Cliphertext) 是明文经加密变换后的结果,即消息被加密处理后的形式,一般用C表示 密钥(Key) 是参与密钥变换的参数,一般用K表示 加密算法(Encryption Algorit...
RSA、SHA、DES、MD5、BASE64的可逆性分析
The_best_的博客
11-20 6429
RSA、SHA、DES、MD5、BASE64的可逆性分析RSASHADESMD5BASE64 RSA RSA是由Ron Rivest、AdiShamir和Leonard Adleman的姓氏的首字母组成。RSA是一种公钥密码算法,加密解密采用不同的密钥。明文可以通过加密算法生成密文密文也可以通过解密算法还原成明文,所以是可逆的。 SHA RSA的全称是Secure Hash Algorithm(安全哈希算法)。SHA是一种摘要算法,原理是将一段明文以一种不可逆的方式将它转换成一段密文(通常会更小),又称
RSA 加密解密算法实现(简单,易懂)!!!
热门推荐
weixin_45031801的博客
09-06 4万+
在计算机中常用的加密算法分为两类:对称加密算法和非对称加密算法。1.对称加密在对称加密技术中,对信息的加密和解密都使用了相同的密钥Key,也就是说使用同一个密钥Key对数据进行加密和解密。这种加密方法可简化加解密的处理过程,信息交换双方都不必彼此研究和交换专用的加解米算法。如果在交换阶段,密钥Key没有泄露,那么加密数据的机密性和报文的完整性就可以得到保证。
CTF-Crypto-RSA整理
Love&Share
10-28 1万+
rsa基本参数 N:大整数N,我们称之为模数(modulus) p 和 q :大整数N的两个因子(factor) e 和 d:互为模反数的两个指数(exponent) c 和 m:分别是密文明文 {N,e}称为公钥,{N,d}称为私钥 加密过程: c=m^e mod n c=pow(m,e,n) 解密过程: m=c^d mod n m=pow(c,d,n) 求解私钥d: d = gmpy2.invert(e, (p-1)*(q-1)) 一般来说,n,e是公开的,但是由于n一般是两
记一道rsa题目
villons的博客
09-01 799
这是一道特殊n值的rsa题。
RSA原理及其攻击方法
sinri的博客
07-10 4694
RSA原理及其攻击方法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 密钥产生: 1.选两个大素数p和q 2.计算n=p*q,欧拉函数*φ(n) =(p-1) (q-1) 3.选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1,即φ(n)与e互质 4.计算d,满足d *e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因为e与φ(n)互素,由模运算可知,它的乘法逆元一定存在(欧拉定理:若a与n互素,则a^φ(n)≡1 mod n) 5.
RSA解密(非对称加密)
qq_59700927的博客
09-02 671
仅为简单记录,无研究意义
DES 与 RSA解密算法.ppt
最新发布
07-03
### DES与RSA解密算法知识点详解 #### 一、加解密算法概述 加解密算法是信息安全领域中的核心技术之一,主要用于保护数据在传输过程中的安全性和完整性。按照加密方式的不同,可以将加解密算法分为两大类:对称...
RSA.rar_DES rsa_visual c
09-24
6. **解密过程**:密文c通过公式m=c^d mod n解密。 **DES算法** DES(Data Encryption Standard)是由IBM开发并由美国国家标准局(NIST)在1977年采纳的一种对称加密算法。它使用64位的密钥对64位的数据进行操作,...
密码技术DES和RSA的比较与应用
05-27
在众多密码技术中,DES(Data Encryption Standard,数据加密标准)和RSA(由Rivest、Shamir和Adleman三位发明人名字首字母组成的非对称加密算法)是两种广泛使用的加密算法。它们分别代表了对称加密技术和非对称...
RSA 2048位算法的主要参数N,E,P,Q,DP,DQ,Qinv,D分别是什么意思 哪个是通常所说的公钥与私钥 -安全行业基础篇5
chenhao0568的专栏
11-09 4874
N(Modulus):模数,是两个大素数P和Q的乘积。N的长度决定了RSA算法的安全性。E(Public Exponent):公钥指数,通常为65537(0x10001)。E用于加密数据,是公钥的一部分。P(Prime Factor):素数P,是模数N的一个因子。Q(Prime Factor):素数Q,是模数N的另一个因子。DP(D mod (P-1)):D对(P-1)取模的结果,用于解密数据。DQ(D mod (Q-1)):D对(Q-1)取模的结果,用于解密数据。
java RSA生成明文公钥私钥,对文件进行加密解密
zxx3536的博客
09-25 5774
java RSA生成明文公钥私钥,对文件进行加密解密 import java.io.DataInputStream; import java.io.DataOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOExcep...
RSA算法与加密解密
weixin_45802397的博客
10-14 3900
RSA算法与加密解密什么是RSA算法(RSA algorithm)什么是非对称加密算法RSA加密解密原理算法攻击和蓝桥杯2018年省赛题目RSA的小指数攻击蓝桥杯2018年省赛题目第一步,分解n求得p和q第二步,求得e第三步,对拍测试第四步,解题参考链接 整理于多篇相关文字和网络资料,参考链接详见于文章末尾。 什么是RSA算法(RSA algorithm) RSA算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)
判断奇偶数
xg17038241417146的博客
12-12 1719
# include<stdio.h> int main() { int a; printf("请输入一个正整数:"); scanf("%d",&a); if(a%2==0) { printf("%d是偶数",a); } else { printf("%d是奇数",a); } return
RSA加密解密和签名的应用场景
eeprom的博客
02-15 3684
RSA 可以生成一对密钥(私钥和公钥) 明文消息用公钥进行加密后,可以得到密文消息。 密文消息必须用私钥进行解密后,才能得到明文消息。 公钥是公布出去的,任何人都可以知道。 密钥自己藏着,只有自己知道。 只要有公钥的人,就可以将消息进行加密。 只有公钥没有私钥的人,无法对密文进行解密,无法知道密文表达什么信息。 加密场景: 自从潘金莲放窗帘时不小心打到西门庆的头之后,他们两就开始秘密交往,潘金莲的丈夫武大郎总是怀疑他们俩在偷情,苦于没有证据,总是在暗地里偷偷观察着。 一天,潘金莲想写情书撩西门庆,但是情
BUUCTF Crypto [NCTF2019]babyRSA wp
hsqGOD's blog
03-26 1812
这道题没有给出n,只给出了e和d,于是我们可以尝试通过爆破的方法求得欧拉函数进而求得,p和q。然后我们可以看到p和q的生成函数,p和q非常的接近,而且都在2**1023和2*1024之间,于是可以发现把欧拉函数phi开平方根之后的下一个素数,就是生成的q,进而可以解出本题,下面给出脚本 // python2 from gmpy2 import * from sympy import * from ...
绿城杯2021 Crypto writeups
weixin_56678592的博客
09-29 542
绿城杯2021 Crypto writeups #1 warmup: 题目: from Crypto.Util.number import * from flag import flag assert flag[:5]=='flag{' str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' def encode(plain_text, a, b, m): cipher_text = '' for i in plain_tex
一道关于RSA算法的CTF题
qq_41814777的博客
10-08 997
我感觉是非常好的一道题,关于rsa算法,且我刚刚学完。 0x00 下载好附件和拿到提示:X老师知道Alice的RSA密钥为(n, e) =(0x53a121a11e36d7a84dde3f5d73cf, 0x10001) (192.168.0.13)?, Bob的RSA密钥为(n, e) =(0x99122e61dc7bede74711185598c7, 0x10001) (192.168.0...
什么事RSA算法?原理是什么?
公众号:BennuCTech
12-17 1万+
前言 RSA算法是最重要的算法之一,它是一种非对称加密,是目前最有影响力的加密方式之一。这篇文章我们通过实现一种简单的RSA加密来探究它的原理。 计算公钥和私钥 RSA中的公钥和私钥需要结合在一起工作。公钥用来对数据块加密,之后 ,只有对应的私钥才能用来解密。生成密钥时,需要遵循几个步骤以确保公钥和私钥的这种关系能够正常工作。这些步骤也确保没有实际方法能够从一个密钥推出另一个。 开始前,首先要选择两个大的素数,记为p和q。根据当今求解大数因子的技术水平,这两个数应该至少有200位,这们在实践中才可以认为是安
des加密解密软件:DesDemo功能解读
非对称加密算法如RSA、ECC等在安全性和密钥管理方面提供了更多的灵活性,但计算上通常比对称加密算法更复杂、速度更慢。 知识点四:DES加密解密软件的使用场景 DES加密解密软件主要用于需要保障数据传输或存储安全...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值