[watevrCTF 2019]Baby RLWE

最新推荐文章于 2024-02-25 10:35:59 发布
最新推荐文章于 2024-02-25 10:35:59 发布
阅读量207 收藏 1
点赞数
分类专栏: crypto 文章标签: crypto CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52193383/article/details/126321717
版权

[watevrCTF 2019]Baby RLWE

from sage.stats.distributions.discrete_gaussian_polynomial import DiscreteGaussianDistributionPolynomialSampler as d_gauss

flag = bytearray(raw_input())
flag = list(flag)

n = len(flag)
q = 40961

## Finite Field of size q. 
F = GF(q)

## Univariate Polynomial Ring in y over Finite Field of size q
R.<y> = PolynomialRing(F)

## Univariate Quotient Polynomial Ring in x over Finite Field of size 40961 with modulus b^n + 1
S.<x> = R.quotient(y^n + 1)

def gen_small_poly():
    sigma = 2/sqrt(2*pi)
    d = d_gauss(S, n, sigma)
    return d()

def gen_large_poly():
    return S.random_element()


## Public key 1
a = gen_large_poly()

## Secret key
s = S(flag)


file_out = open("downloads/public_keys.txt", "w")
file_out.write("a: " + str(a) + "\n")


for i in range(100):
    ## Error
    e = gen_small_poly()

    ## Public key 2
    b = a*s + e
    file_out.write("b: " + str(b) + "\n")

file_out.close()

搜索DiscreteGaussianDistributionPolynomialSampler了解了一下。
在这里插入图片描述
在这里插入图片描述

可知 e 的生成运用高斯分布,c 默认为 0,sigm 看样子是极小的( pi 未知),那么生成的系数就会集中在 0 处,也就是说 e 的多项式中的很多项系数都为 0。因为as 不变,所以可以通过统计多组b,取相应项中出现最多的系数作为该项的系数,由此猜测as,从而达到绕过 e 的干扰求 s。

keys = open("public_keys.txt", "r").read().split("\n")[:-1]
n = 104
q = 40961
F = GF(q)
R.<y> = PolynomialRing(F)
S.<x> = R.quotient(y^n + 1)
a = keys[0][3:]
a = S(a)
'''
b_list = []
for i in range(1,len(keys)):
    bi = (keys[i][3:]+'*').replace('+',' ').split()#防止find()未找到
    assert len(bi) == 104
    xs = []
    for each in bi:
        index = each.find('*')
        xs = [int(each[:index])] + xs#注意系数顺序
    print(xs)
    b_list.append(xs)
'''

b_list = []
for i in range(1,len(keys)):
    bi = list(S(keys[i][3:]))
    assert len(bi) == 104
    b_list.append(bi)

tmp = []
for i in range(104):#每项系数
    t = []
    for j in range(100):#每个b
        t.append(b_list[j][i])
    tmp.append(max(t,key = t.count))

tmp = S(tmp)
#print(tmp)
s = tmp / a
s = list(s)

flag = ''
for i in s:
    flag += chr(i)
print(flag)

参考:

watevrCTF 2019]Baby RLWE_无名函数的博客-CSDN博客

gal2xy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于RLWE支持身份隐私保护的双向认证密钥协商协议
01-14
为了解决执行认证密钥交换协议时通信双方身份隐私保护问题,提出了一种基于C类承诺机制的抗量子攻击的双向认证密钥协商协议。该协议通过 C 类承诺函数隐藏通信双方的真实身份信息,并基于 RLWE 困难问题,在保障身份匿名的前提下,通过2轮的消息交互不仅完成了双向身份认证,而且保证了传输消息的完整性,并协商出共享会话密钥。经过分析,在协议执行效率上,完成匿名的双向认证与密钥协商只需2轮的消息传输,与 Ding等的协议对比,公钥长度缩短近 50%;在安全性上,所提协议能够抵抗伪造、重放、密钥复制和中间人攻击。所提协议在eCK模型下满足可证明安全性,同时所提协议基于格上的RLWE困难问题,可抵抗量子计算攻击。
基于RLWE的全同态加密方案_汤殿华
10-10
2014最新文章 比看英文版的要舒服多了
LWE和RLWE问题学习
Amire0x的小乐园
10-06 5998
LWE问题了解
RLWE同态加密编码打包——系数打包
最新发布
watqw的博客
02-25 908
介绍了RLWE加法同态加密的明文打包方法,系数打包。并给出OpenFHE的代码示例。
同态加密:正则嵌入、理想格和RLWE问题
weixin_43466027的博客
08-07 1430
正则嵌入、理想格和RLWE
rlwe-kex-go
03-13
rlwe-kex-go
基于RLWE的DKE密钥交换[PPT]Ding Key Exchange 2018.pdf
04-13
Pre-2012: Various LWE & RLWE encryption (KEM) schemes with large ciphertext size. Framework of DH-like key exchange construction appeared. No concrete error reconciliation mechanism 2012: Ding et ...
基于RLWE的密钥策略属性加密体制
01-14
在Brakerski等提出的基于LWE问题的属性加密体制基础上,提出了一个基于RLWE问题的属性加密体制。相比基于LWE问题的属性加密体制,该体制效率更高、密钥尺寸更小。在RLWE的安全性假设下,该体制支持长度不受限制的...
基于RLWE的全同态加密方案
01-15
结合该技术与“模转换”,设计了一个基于RLWE的非自举的层次化全同态加密方案。该方案的同态操作简单,而且给出的平凡门操作使得电路层结构更清晰。最后利用自举技术作为优化提升了方案的同态运算能力。
2021第五届强网杯网络安全挑战赛决赛-crypto writeup
blog
07-15 1129
title: 2021第五届强网杯网络安全挑战赛决赛-crypto writeup date: 2021-07-11 16:42:54+08:00 author: ljahum categories: notes tags: crypto hiddenFromHomePage: false description: “强网杯2021” math: enable: true 2021第五届强网杯网络安全挑战赛决赛-crypto writeup 不垫底就算成功???????????? 蛮恶心的,差点
古典密码(部分合集)
热门推荐
qq_52193383的博客
08-08 1万+
古典密码一. 移位密码1. 简单移位密码2. 曲路密码3. 云影密码4. 栅栏密码二. 代替密码单表代替密码1.凯撒密码2.ROT133.埃特巴什密码4.经典单表替代密码5.摩斯密码6.培根密码7.图形替换密码猪圈密码圣堂武士密码标准银河密码8.仿射密码多表代替密码1.棋盘密码PlayfairPolybiusADFGXADFGVX2.维吉尼亚密码 古典密码在形式上可分为移位密码和替换密码两类,其中代替密码又可分为单表替换和多表替换。 一. 移位密码 1. 简单移位密码 可以理解为明文根据密钥进行了位置的变换
BUUCTF RSA(一)
qq_52193383的博客
08-06 6834
这里写目录标题RSArsarsaRSA1RSA2RSA3RSA RSA rsarsa RSA1 RSA2 RSA3 RSA 1.RSA 在一次RSA密钥对生成中,假设p= 473398607161 ,q= 4511491 ,e= 17 ,求解出d作为flag提交. import gmpy2 p = 473398607161 q = 4511491 e = 17 d = int(gmpy2.invert(e,(p-1)*(q-1))) print(d) 2.rsarsa import gmpy2 p =
第四届江西省高校网络安全技能大赛 复现 2021-09-30
qq_52193383的博客
10-01 5651
文章目录cryptoYusa的密码学课堂—CBC第二课Yusa的密码学课堂—CBC第三课Misc奇奇怪怪的编码extractall crypto Yusa的密码学课堂—CBC第二课 题目: from Crypto.Cipher import AES import os flag='DASCTF{********************************}' BLOCKSIZE = 16 def pad(data): pad_len = BLOCKSIZE - (len(data)
RSA中dp,dq ,npp的求解方法
qq_52193383的博客
08-17 3508
这里写目录标题1.已知n,e,c,npp求解明文2.已知p,q,dp,dq,c求明文3.已知e,n,dp/(dq),c求明文 1.已知n,e,c,npp求解明文 npp = (p+2) * (q+2) 解密过程: e , p1=p , q1=q , n1=p * q , φ(n1)=(p1-1) * (q1-1) , p2=(p+2) , q2=(q+2) , n2=(p+2) * (q+2) , φ(n2)=(p2-1) * (q2-1) 首先根据e和φ(n2)求出d2,对c解密求得明文m2,
第五届“强网杯”全国网络安全挑战赛 - 青少年专项赛 crypto
qq_52193383的博客
10-04 3060
文章目录CryptoCrypto1Crypto2 Crypto Crypto1 题目: n=967226697499512129137566782343586511841340684078124704344359166031568189175458414397790319438006342500321067641548043099355576785128586300482122046964714877621607449248380107464455109792027351231405365999757311
希尔密码
qq_52193383的博客
08-30 2039
今天是返校的一天,有很多事要去解决,所以就没时间打卡了,于是晚上学习了一下。 希尔密码: 按照字母表中字母顺序,将字母当作0~25。将一串字母当成n维向量,与一个n * n的矩阵相乘,再将得出的结果模26。 注意: 用作加密的矩阵(即密钥)在Z26 n 中必须是可逆的,否则就不能解码。 ​ 只有当矩阵的行列式与26互质才是可逆的。 设明文化成的向量为m,密文向量为c,密钥向量为k,根据希尔密码的定义给出如下公式: c = m * k mod 26 (m为1 * n) m = c *
生成RLWE加密算法的matlab程序
04-28
不过,我可以向您解释一下RLWE加密算法的基本原理和实现步骤,以帮助您自己编写代码。 RLWE加密算法(Ring Learning with Errors)是一种基于格的加密算法,其安全性基于一个难题:LWE(Learning with Errors)。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值