RSA攻击解密算法进阶

已于 2024-01-19 10:53:53 修改
阅读量427 收藏
点赞数
文章标签: 算法
于 2023-01-12 20:23:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53058639/article/details/128665842
版权

引文

之前简单讲了一下RSA算法的原理以及计算方法大家有没有学会呢?今天给大家带来的是RSA算法的进阶,进阶内容不止拘泥于RSA的一般算法,也是我在平常经常遇见的类型,多了一些限制性的条件。下面我先带大家回顾一下基础知识吧。

基础知识

先看一下RSA算法涉及的参数:

N:整数N,模数。

p 和 q :N的两个因子(素数)。

e 和 d:互为模反数的两个指数。

c 和 m:密文和明文,求解d时用到函数(d=gmpy2.invert(e,n的欧拉函数)。

加密算法

密文等于m的e次方对N求余。

解密算法

明文是对代表密文的数字 c 的 d 次方对 N 求余。

图解

进阶

维纳攻击

当e过大时适用,e/n的连分数展开会逐渐趋向于k/d。由于连分数逼近原理可以得到两者之间的比值所以(p+q)是可以得到相对接近的值。

例子

GITHUB有个专门的RSA解密脚本:

link.zhihu.com/?target=htt…

from RSAwienerHacker import hack_RSA
e=354611102441307572056572181827925899198345350228753730931089393275463916544456626894245415096107834465778409532373187125318554614722599301791528916212839368121066035541008808261534500586023652767712271625785204280964688004680328300124849680477105302519377370092578107827116821391826210972320377614967547827619
n=460657813884289609896372056585544172485318117026246263899744329237492701820627219556007788200590119136173895989001382151536006853823326382892363143604314518686388786002989248800814861248595075326277099645338694977097459168530898776007293695728101976069423971696524237755227187061418202849911479124793990722597
d=hack_RSA(e,n)
c=38230991316229399651823567590692301060044620412191737764632384680546256228451518238842965221394711848337832459443844446889468362154188214840736744657885858943810177675871991111466653158257191139605699916347308294995664530280816850482740530602254559123759121106338359220242637775919026933563326069449424391192
m=pow(c ,d ,n)
print hex(m)

dp泄露攻击

也是一个非常经典的题目,dp:d对(p-1)取模,当dp泄露时,n可分解成的素数种类大大降低,变得可以判断。

dp≡dmod(p−1)

我们可以根据DP值求出P然后就可以按基础公式来求解了:

for i in range(1,65538):if (dp*e-1)%i == 0:if n%(((dp*e-1)/i)+1)==0:p=((dp*e-1)/i)+1q=n/(((dp*e-1)/i)+1)phi = (p-1)*(q-1)d = gmpy2.invert(e,phi)%phi

低加密指数攻击

适用于e的值比较小的时候,原理如下:

m^e≡c(modn)

m^e=k×n+c(k为特定数值)

e非常小的时候k推断也会非常小,通过蛮力法得到m,然后就可以推导出e。

例子

import gmpy2
import binascii
enf = open('flag.enc', 'rb')
c = int(binascii.b2a_hex(enf.read()), 16)
print c
e = 3
n = 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
k = 99999999
while True:k += 1if k % 1000000 == 0:print kres, isInt = gmpy2.iroot(c + k * n, e)if isInt:print k, resbreak

共模攻击

数次加密,e不同,n相同,m相同。就可以在不分解n和求d的前提下,解出明文m。

推导过程如下:

实现公式因为太长这里就不具体贴了,贴一个最终运算的代码:

m=(pow(c1,s1,n)*pow(c2,s2,n)) % n

P&Q相差过大或者过小

根据基础知识我们知道:

N=P*Q

如果他们相差过大或者过小,根据经验来说更容易从N中分解出来,这里介绍一个分解N的工具YAFU。

WINDOWS版本:

sourceforge.net/projects/ya…

linux版本

github.com/DarkenCode/…

使用方法:

factor(*)

dp,dq泄露

dp:d对(p-1)取模

dq:d对(q-1)取模

根据公式推导,我们可以通过dp,dq来算出M,进而求解。

设存在m1,m2:

c^d≡m1(modp)(m1为特定数值,使该式成立)

c^d≡m2(modq)(m2为特定数值,使该式成立)

进行一系列的推导,得到以下公式:

cd=((m2−m1)×p(−1)modq)×p+m1

m1≡c^(dp)modp

m2≡c^(dq)modq

合并运算可以求出m,脚本如下:

InvQ=gmpy2.invert(q,p)
mp=pow(c,dp,p)
mq=pow(c,dq,q)
m=(((mp-mq)*InvQ)%p)*q+mq
print '{:x}'.format(m).decode('hex')

低加密指数广播攻击

选取的加密指数较低,并且使用了相同的加密指数给一个接受者的群发送相同的信息,那么可以进行广播攻击得到明文。原理如下:

n1,n2…为不同加密所使用的模数,c1,c2…为不同加密的密文。

根据条件:

me≡c1(modn1) …等,可以推断出m^e,然后我们就可以发送相同的信息爆破得到e。

例子

('n=', '0x683fe30746a91545a45225e063e8dc64d26dbf98c75658a38a7c9dfd16dd38236c7aae7de5cbbf67056c9c57817fd3da79dc4955217f43caefde3b56a46acf5dL', 'e=', '0x7', 'c=', '0x673c72ace143441c07cba491074163c003f1a550eab56b1255e5ea9fa2bbd68fd6a9ccb48db9fd66d5dfc6a55c79cad3d9de53f700a1e3c2a29731dc56ba43cdL')
('n=', '0xa39292e6ad271bb6a2d1345940dfab8001a53d28bc7468f285d2873d784004c2653549c589dae91c6d8238977ff1c4bea4f17d424a0fc4d5587661cc7dde3a77L', 'e=', '0x7', 'c=', '0x6111357d180d966a495f38566ebe4ea51fa0d54159b22bbd443cde9387687d87c08638483b39221883453a5ad09f6a0e3726b214e8e333037d178a3d0f125343L')
('n=', '0x52c32366d84d34564a5fdc1650fc401c41ad2a63a2d6ef57c32c7887bb25da9d42c0acfb887c6334c938839c9a43aca93b2c7468915d1846576f92c342046d1fL', 'e=', '0x7', 'c=', '0x26cd2225c0229b6a3f1d1d685e53d114aa3d792737d040fbc14189336ac12fb780872792b0c0b259847badffd1427897ede0d60247aa5e79633f27ccb43e7cc2L')

给了我们三组数据,符合低加密指数广播攻击,于是我们找一个脚本:

import binascii,gmpy2


n =[0x683fe30746a91545a45225e063e8dc64d26dbf98c75658a38a7c9dfd16dd38236c7aae7de5cbbf67056c9c57817fd3da79dc4955217f43caefde3b56a46acf5d,0xa39292e6ad271bb6a2d1345940dfab8001a53d28bc7468f285d2873d784004c2653549c589dae91c6d8238977ff1c4bea4f17d424a0fc4d5587661cc7dde3a77,0x52c32366d84d34564a5fdc1650fc401c41ad2a63a2d6ef57c32c7887bb25da9d42c0acfb887c6334c938839c9a43aca93b2c7468915d1846576f92c342046d1f]
c =[0x673c72ace143441c07cba491074163c003f1a550eab56b1255e5ea9fa2bbd68fd6a9ccb48db9fd66d5dfc6a55c79cad3d9de53f700a1e3c2a29731dc56ba43cd,0x6111357d180d966a495f38566ebe4ea51fa0d54159b22bbd443cde9387687d87c08638483b39221883453a5ad09f6a0e3726b214e8e333037d178a3d0f125343,0x26cd2225c0229b6a3f1d1d685e53d114aa3d792737d040fbc14189336ac12fb780872792b0c0b259847badffd1427897ede0d60247aa5e79633f27ccb43e7cc2]
def CRT(mi, ai):assert(reduce(gmpy2.gcd,mi)==1)assert (isinstance(mi, list) and isinstance(ai, list))M = reduce(lambda x, y: x * y, mi)ai_ti_Mi = [a * (M / m) * gmpy2.invert(M / m, m) for (m, a) in zip(mi, ai)]return reduce(lambda x, y: x + y, ai_ti_Mi) % M
e=0x7
m=gmpy2.iroot(CRT(n, c), e)[0]
print(binascii.unhexlify(hex(m)[2:].strip("L")))

工具介绍

看了这么多RSA的解密方式是不是有点晕了,在遇到这些问题时一步一步做还是挺麻烦的,接下来给大家讲解一款专门用来解决RSA算法问题的工具:RsaCtfTool

github.com/6u661e/CTF-…

文件结构如下:

git clone https://github.com/ius/rsatool.git
cd rsatool//进入这个目录
python setup.py install

基本用法:

已知公钥(自动求私钥) –publickey,密文 —-uncipherfile。

python RsaCtfTool.py --publickey 公钥文件 --uncipherfile 加密的文件

已知公钥求私钥

python RsaCtfTool.py --publickey 公钥文件 --private

openssl

openssl可以实现:秘钥证书管理、对称加密和非对称加密 。

生成PKCS#1私钥

openssl genrsa -out rsa_prikey.pem 1024-out 指定生成文件,此文件包含公钥和私钥两部分,所以即可以加密,也可以解密1024 生成密钥的长度(生成私钥为PKCS#1)

根据私钥生成公钥

openssl rsa -in rsa_prikey.pem -pubout -out pubkey.pem-in 指定输入的密钥文件-out 指定提取生成公钥的文件(PEM公钥格式)

公钥加密文件

openssl rsautl -encrypt -in input.file -inkey pubkey.pem -pubin -out output.file-in 指定被加密的文件-inkey 指定加密公钥文件-pubin 表面是用纯公钥文件加密-out 指定加密后的文件

私钥解密文件

openssl rsautl -decrypt -in input.file -inkey key.pem -out output.file-in 指定需要解密的文件-inkey 指定私钥文件-out 指定解密后的文件

RSA用法

openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id]</pre>
常用选项:
-in filename:指明私钥文件
-out filename:指明将提取出的公钥保存至指定文件中 
-pubin:根据公钥提取出私钥
-pubout:根据私钥提取出公钥

结语

今天比较详细的总结了个人在遇到RSA题目时的一些经验,可能有一些确实不太好理解,这里也提供了工具去解决,喜欢的小伙伴不妨一键三连支持一下。

程序员小肖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RSA算法以及其破解方法
qq_43455407的博客
04-01 5638
对称秘钥加密存在的问题以及公开秘钥加密的诞生 上两篇提到的铁栅栏和希尔算法都属于对称加密算法,即同一个秘钥既用于加密数据,又用来解密数据,其就造成了一个结果:加密秘钥可以被公开,这就造成了一个最为严重的问题——如何安全地分发秘钥,要是秘钥被分发或者截获至非法用户手中,这组加密秘钥的安全性便不再被保证,既有可能被随意破解,又有可能被伪造发送。为了解决这个问题,公开密钥加密方法被开发出来。 公开密钥加密系统的原理 公开密钥加密系统基于单向陷门函数。“单向”的意思是指该函数从一个方向计算十分容易,但要从另一个方向
RSA算法
qq_46172668的博客
08-30 2186
RSA算法 RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。 RSA是非对称的,也就是用来加密的密钥和用来解密的密钥不是同一个。RSA公开密钥密码体制是一种使用不同的加密密钥与解密密钥,“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。 在公开密钥密码体制中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(
RSA讲解及简单题目讲解
最新发布
W6666696的博客
04-23 1581
最近在学习RSA,上网发现对于我这种基础差的很不友好(看不明白RSA数学公式)所以便自己对RSA做了详细总结。
RSA加密算法破解及原理
协议分析与还原
12-04 3382
RSA加密算法是一种非对称加密算法,目前被广泛应用。本文介绍RSA算法的基本原理和破解方法。”RSA在互联网上被广泛应用,典型的如各个网站的证书。很多应用数据的加密也...
RSA破解
kusirp21的博客
12-16 4447
RSA破解RSA基础理论RSA算法原理RSA算法的安全提示RSA破解方法因素分解法欧拉函数求解 RSA基础理论 RSA是MIT的三名研究员罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)在1977年提示的非对称加密算法,该算法被其三个名字首字母冠名。 RSA算法原理 RSA非对称加密是根据数论,使用两个较大的素数,通过指数运行进行的一种信息处理方法。使用公钥将明文进行指数运算,处理成密文为加密过程;使用私钥将密文处理成明文的运行
RSA 加密算法的实现与破解
iO快到碗里来
10-22 4963
0x00 信息系统安全实验报告 实验二:实现RSA加密算法,根据已知明文计算出RSA的加密密文,并解密。 1、 选择一对不同的、足够大的素数 p,q。 2、 计算 n=pq。 3、 计算 f(n)=(p-1)(q-1),同时对 p, q 严加保密,不让任何人知道。 4、 找一个与 f(n) 互质的数 e,且 1<e<f(n)。 5、 计算 d,使得 de≡1 mod f(n)。这个公式也可以表达为 d ≡e-1 mod f(n)。 这里要解释一下,≡ 是数论中表示同余的符号。公式中,≡ 符号的左
易语言RSA算法注册源码-易语言
06-13
RSA算法的原理基于大数因子分解的困难性。算法生成一对密钥,包括一个公钥和一个私钥。公钥由两个大的素数的乘积和一个欧拉函数计算出的欧拉 totient 函数值组成。私钥则包含了这两个大素数。加密过程是使用接收者的...
Python爬虫进阶 | 某某街 | 某乐网 加密算法分析
12-22
在Python爬虫进阶的过程中,理解并破解网站的加密算法是一项重要的技能,这有助于我们更有效地获取和解析数据。本文以“某某街 | 某乐网”的加密算法为例,详细介绍了如何分析和模拟加密过程。 首先,文章提到了一...
基于python实现的渗透测试常用加解密算法源码+项目说明.zip
03-24
基于python实现的渗透测试常用加解密算法源码+项目说明.zip 一些渗透测试相关的加解密方法的实现,封装成类或函数,方便编写 Burpy 脚本的时候直接调用 基于Python3实现。 例如网站登录密码加密的rsa、aes。 金融...
Android高级进阶--免解压密码
01-03
本书将涵盖常见的加密算法,如AES、RSA等,以及如何在Android中实现这些算法。此外,还会讨论如何设计安全的密钥存储和传输机制,以保护用户的隐私。 六、Android调试与性能优化 了解如何有效调试和优化代码是高级...
限时加解密-易语言
06-12
本教程将结合易语言的特点,深入浅出地教授如何利用其语法结构和库函数来实现加密解密算法,同时融入时间限制机制,让程序在特定时间范围内有效。 加密技术的核心在于选择合适的加密算法。常见的有对称加密(如DES...
RSA私钥pem转换成der, 在将der解析出n e d p q dp dq qp
baron-周贺贺-代码改变世界ctw
05-14 5109
1、网页实现 https://the-x.cn/base64 注意请去除-----BEGIN PRIVATE KEY-----和-----END PRIVATE KEY-----两行后再黏贴 2、openssl命令行实现 openssl base64 -d -in test_priv.pem -out 1.data user1:~/work/crypto$ openssl base64 -d -in test_priv.pem -out 1.data user1:~/work/crypto$ xxd -i
RSA解密工具--RsaCtfTool使用
ITgougou_的博客
10-16 6334
用法一:已知公钥(自动求私钥)--publickey,密文 --uncipherfile python RsaCtfTool.py --publickey 公钥文件 --uncipherfile 加密的文件 用法二:已知公钥求私钥 RsaCtfTool.py --publickey 公钥文件 --private 用法三:密钥格式转换 把PEM格式的公钥转换为n,e >python RsaCtfTool.py --dumpkey --key 公钥文件 把n,e转换为PEM格式
RSA攻击方法总结笔记
m0_52842062的博客
08-09 3515
RSA攻击方式总结 1.模数分解 1).解题思路 ​ a).找到RSA算法中的公钥(e,n) ​ b).通过n来找到对应的p和q,然后求得φ(n) ​ c).通过gmpy2.invert或者gmpy2.gcdext可以求得e的逆元d ​ d).通过pow函数将密文解密(pow(a,b,c)函数的速度比直接写a**b mod c 要快) 2).直接分解n ​ a).通常情况下,如果n的长度小于256bit(二进制),那么可以通过本地的工具进行分解(RSATool2v17) ​ b).如
RSA公钥密码总结
wangluoanquan111的博客
04-18 990
选择两个大的参数,计算出模数 N = p * q计算欧拉函数 φ = (p-1) * (q-1),然后选择一个e(1<e<φ),并且e和φ互质,互质:公约数只有1的两个整数取e的模反数d,计算方法为:e * d ≡ 1 (mod φ)模反元素,也叫模逆元素,是指满足以下公式的整数b:a * b ≡ 1 (mod n),也就是说,a和b相乘后除以n的余数是1。模反元素存在的条件是a和n互质,即它们没有公约数。例如:3和11互质,那么3的模反元素就是4,因为3 * 4 ≡ 1 (mod 11)。
RSAwiener攻击详解(RSA 维纳攻击)
weixin_51086098的博客
03-27 5477
RSAwiener攻击 题型:维纳攻击 环境:python3.9 攻击原理:RSA维纳攻击原理可参考该网址 解题过程: github上找到有关wiener 攻击的解题脚本,链接 下载过程:打开链接后,点击箭头所指CODE,下载完成后将所有文件放在同一个文件夹内。接下来便需要编写py脚本来获取flag。 利用python编写如下代码: from Crypto.Util.number import * from gmpy2 import * from RSAwienerHacker
RSA加密入门(新手友好系列)
彼岸花苏陌的博客
08-22 1485
加密,主要分为两种,对称加密和非对称加密 什么是对称和非对称? 对称加密 对称加密是指加密和解密都是用的同一个秘钥,如DES,AES Example: A要传一个“2”给B,为了安全起见A需要给“2”加密 于是A把2加“1”得到“3” 再把“3”传给B,这样B得到“3”后再使用秘钥“1”便得到了“2” (当然实际情况肯定和这个不一样,这个例子只是简单介绍下原理) 那么那个秘钥“1”如何传给B呢? 这个并不需要,对称加密的秘钥是很多的,这就相当于A和B都有一大把钥匙,他们今天商量使用钥匙“1”来加锁和开锁,
rsa解密的内容超长的问题解决
热门推荐
taoxin52的专栏
12-21 4万+
一. 现象:      有一段老代码用来加密的,但是在使用key A的时候,抛出了异常:javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes。老代码已经做了分段的加密,应该是已经考虑了加密长度的问题才对。换了另一个线上代码中的key B,正常加密没有异常。 二. 解决:    
RSA之初学维纳攻击
rreally的博客
12-13 6250
Wiener’s Attack 适用情况:e过大或过小。 在e过大或过小的情况下,可使用算法从e中快速推断出d的值。 Wiener 表示如果满足: d<1/3n1/4 那么一种基于连分数的特殊攻击类型就可以危害 RSA 的安全。此时需要满足: q<p<2q 如果满足上述条件,通过 Wiener Attack 可以在多项式时间中分解 n,思路如下: N = pq φ(n)=(p−1)(q−1)=pq−(p+q)+1=N−(p+q)+1 ∵p, q 非常大 , ∴pq≫p+q, ∴φ(n)≈N
RSA2048解密算法
09-13
RSA2048解密算法RSA加密算法的逆运算。RSA算法是一种非对称加密算法,其中包含一个公钥和一个私钥。公钥用于加密数据,私钥用于解密数据。在RSA2048算法中,使用2048位的密钥对进行加密和解密解密过程如下: 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值