RSA常见攻击方式(西电网信密码学大作业)

于 2023-03-04 16:01:08 发布
阅读量1.2k 收藏 10
点赞数 2
文章标签: python Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56406979/article/details/129335560
版权

题目:RSA大礼包

摘要:

实验要求:

使用截获的加密数据,根据RSA算法的非合规使用,参数选取不当等,破译出相关明文和参数,其中参数主要为p、q以及私钥d。

实验目的:

通过对已截获密文的破译,学习对RSA常见的攻击方式,如共模攻击、低加密密指数攻击、低解密指数攻击、因数碰撞攻击、随机数发生器攻击等。在破译过程中,更深刻的理解RSA各个参数的作用及使用要求限制。并在今后的使用过程中,避免对参数的不合规使用,从而造成加解密系统的不安全。

题目描述

已知为截获的21条加密帧,对应的明文为一个通关密语,问是否能仅从加密数据恢复通关密语及RSA体质参数。若可以恢复,则需给出原文和参数,若不能恢复则需给出已恢复部分并说明剩余部分不能恢复的理由。

需要注意的是模数N=pq规模问1024比特,其中p、q为素数,每次对文本加密,最多只能加密八个明文字符,若超过八个字符,则需对明文进行分片,每个分片不超过八个字符。帧数据的数据格式如下,其中数据都是 16 进制表示,结构如下1024bit模数N | 1024bit加密指数e | 1024bit密文m^e mod N。分片加密后发送一个加密帧数据,帧数据文件名称为 FrameXX,其中 XX 表示接收序号,该序号不一定等于通信序号。

过程

背景:

RSA 的安全性是基于大整数素因子分解的困难性,而大整数因子分解问题是数学上的著名难题。数域筛法是目前 RSA 攻击的首选算法。在 1999 年,一台 Cray 超级电脑用了 5 个月时间分解了 512 比特长的密钥。在 512 比特 RSA 算法破解 10 年之后,即 2009 年 12 月 9 日,768比特 RSA 算法即 232 数位数字的 RSA-768 被分解。分解一个 768 比特RSA 密钥所需时间是 512 位的数千倍,而 1024 比特所需时间则是 768比特的一千多倍,因此在短时间内 1024 比特仍然是安全的。除此之外,目前对于 RSA 算法的攻击主要有以下方式:选择密文攻击、公共模数攻击、低加密密指数攻击、低解密指数攻击、定时攻击等等。

原理:

1)RSA 体制参数选取

Step1. 每个使用者,任意选择两个大素数ᵅd和ᵅe,并求出其乘积ᵄ1 = ᵅdᵅe。

Step2. 令ᵱ1(ᵄ1) = (ᵅd − 1)(ᵅe − 1),选择整数ᵅ2,使得GCD(ᵅ2,ᵱ1(ᵄ1)) = 1,并求出ᵅ2模ᵱ1(ᵄ1)的逆元ᵅ1,即ᵅ2ᵅ1 ≡ 1 mod ᵱ1(ᵄ1).

Step3. 将数对(ᵅ2, ᵄ1)公布为公钥,ᵅ1保存为私钥。

2)加解密过程

Bob 欲传递明文ᵅa给 Alice,则 Bob 首先由公开途径找出 Alice 的公

钥(ᵅ2, ᵄ1),Bob 计算加密的信息ᵅ0为:ᵅ0 ≡ ᵅaᵅ2 mod ᵄ1。

Bob 将密文ᵅ0传送给 Alice。随后 Alice 利用自己的私钥ᵅ1解密:

ᵅ0^ᵅ2 ≡ (ᵅa^ᵅ2)^ᵅ1 ≡ ᵅa^ᵅ2ᵅ1 ≡ ᵅa mod ᵄ1.

步骤:

1、提取加密帧中RSA参数

def getOptions(filepath: str):

with open(filepath, "r", encoding='GBK') as f:

msg = f.read()

n = int('0x' + msg[:1024 // 4], 16)

e = int('0x' + msg[1024 // 4:2048 // 4], 16)

c = int('0x' + msg[2048 // 4:], 16)

return n, e, c

2、共模攻击

若明文m相同,用两个公钥e1,e2加密得到两个私钥d1,d2 和两个密文c1,c2。共模攻击,即当m不变的情况下,知道n,e1,e2,c1,c2, 可以在不知道d1,d2的情况下,解出m利用条件为=> gcd(e1,e2)=1。加密帧中第0帧和第4帧可用共模攻击破解。

def com_module_attack(e1, e2, n, c1, c2):

# a*e1 + b*e2 = 1

a, b, d = extended_gcd(e1, e2)

print('============frame0, frame4===================')

print('p=')

print('q=')

print('frame0_e=' + str(e1))

print('frame4_e=' + str(e2))

print('msg=', end='')

print(libnum.n2s(int((pow(c1, a, n) * pow(c2, b, n)) % n))[-8:])

解得结果如下:

============frame0, frame4===================

frame0_e=46786465362686334917265996843779843233606992585424976481745055335468678697948774988450305612127967926533923268260412557000125153569622340353246096040604284883505587337829322949633637609180797447754513992039018904786537115087888005528547900640339270052628915440787357271345416818313808448127098885767015748889

frame4_e=152206992575706893484835984472544529509325440944131662631741403414037956695665533186650071476146389737020554215956181827422540843366433981607643940546405002217220286072880967331118344806315756304650248634546597784597963886656422706197757265316981889118026978865295597135470735576032282694348773714479076093197

msg=b'My secre'

3、因数碰撞攻击

多条报文选取选取到了相同的p,q,那么会出现n_1=pq_1,n_2=pq_2,则由欧几里得算法gcd(n1,n2)=p,再计算n/p即可得到参数q,计算出fai(n)=N-p-q+1,计算出私钥d,加密帧中第1帧和第18帧可用因数碰撞攻击破解。

def bad_choose_pq_com(e1, c1, n1, e2, c2, n2):

p = math.gcd(n1, n2)

q1 = n1 // p

q2 = n2 // p

print('================frame1======================')

print('p=' + str(p))

print('q=' + str(q1))

print('e=' + str(e1))

print('msg=', end='')

decryptRSA(p, q1, e1, c1)

print('================frame18======================')

print('p=' + str(p))

print('q=' + str(q2))

print('e=' + str(e2))

print('msg=', end='')

decryptRSA(p, q2, e2, c2)

解得结果如下:

================frame1======================

p=7273268163465293471933643674908027120929096536045429682300347130226398442391418956862476173798834057392247872274441320512158525416407044516675402521694747

q=12775796067504534889308793837705093856447186276434607181291462366302734214583227473619414509043813033676998357747882057607288385639737162184366176530607467

e=65537

msg=b'. Imagin'

================frame18======================

p=7273268163465293471933643674908027120929096536045429682300347130226398442391418956862476173798834057392247872274441320512158525416407044516675402521694747

q=12840807874760119497562989864651565491645077946976950748211992253853323703532620362223764981952516328133916264333884385029280730688894521589959051436522977

e=65537

msg=b'm A to B'

4、低加密指数广播攻击

若加密指数e非常小,一份明文使用不同的模数n,相同的加密指数e进行多次加密,则可以拿到每一份加密后的密文和对应的模数n、加密指数e。破解思路为不同的模数n中可能存在相同的p或者说q,求出不同n之间的最大公约数 gcd(),得到p或q 可得d,有私钥d就能得到明文。

def broadcast_attack(params: list):

x, n = chinese_remainder_theorem(params)

print('==========frame3, 8, 12, 16, 20==============')

print('p=')

print('q=')

print('e=5')

print('msg=', end='')

print(libnum.n2s(int(gmpy2.iroot(x, 5)[0]))[-8:])

解得结果如下:

==========frame3, 8, 12, 16, 20==============

e=5

msg=b't is a f'

5、Pollard p-1分解攻击

若所选取的素数p或素数q不为强素数,即p-1或q-1没有大素数因子时,可能存在pollard p-1 分解法实现对n的因子分解,计算出p,q,从而算出私钥d,破解明文。加密帧中第2帧、第6帧和第19帧可用Pollard p-1攻击破解。

def factor_n_p_1_attack(frames: list):

i = 0

for c, n, e in frames:

if i == 0:

print('================frame2======================')

elif i == 1:

print('================frame6======================')

else:

print('================frame19======================')

p = factor_n_p_1(n)

q = n // p

print('p=' + str(p))

print('q=' + str(q))

print('e=' + str(e))

print('msg=', end='')

decryptRSA(p, q, e, c)

i = i + 1

解得结果如下:

================frame2======================

p=1719620105458406433483340568317543019584575635895742560438771105058321655238562613083979651479555788009994557822024565226932906295208262756822275663694111

q=52484065122572767557293534477361686456679280880304125291106733197354892893647364164212186415880889674435558369420400890814461263958618375991691022752189839

e=65537

msg=b' That is'

================frame6======================

p=920724637201

q=159482692259010816139523195494724350795654007589889398757383554027183924116413427533184220914037106543253535103452324841452565420868944985464229649420240708554088156331324206733727690785373464575525698274552058386560106163093965065830071277465943834308083708065429495092746028681968670036721164931

e=65537

msg=b' "Logic '

================frame19======================

p=1085663496559

q=86725761611859895386396141031497189948984447138542215420462553101081991008304507461163078354877970282649251051457532902955009856009405853917396630017011320500357081664483071782135584899953560478866041032397335990722689211113937797406269980402604895207480485168493674422769645640726941944110986793

e=65537

msg=b'instein.'

6、Fermat分解攻击

若模数N的因子p与q非常接近,则可通过尝试

,从而分解出p+q。加密帧中第10帧和第14帧可用Pollard p-1攻击破解。

def factor_n_fermat_attack(frames: list):

i = 0

for c, n, e in frames:

if i == 0:

print('================frame10======================')

else:

print('================frame14======================')

p, q = fermat(n)

print('p=' + str(p))

print('q=' + str(q))

print('e=' + str(e))

print('msg=', end='')

decryptRSA(p, q, e, c)

i = i + 1

解得结果如下:

================frame10======================

p=9686924917554805418937638872796017160525664579857640590160320300805115443578184985934338583303180178582009591634321755204008394655858254980766008932978699

q=9686924917554805418937638872796017160525664579857640590160320300805115443578184985934338583303180178582009591634321755204008394655858254980766008932978633

e=65537

msg=b'will get'

================frame14======================

p=10954856299233465126359914171500305822846165431085183673999109759449706417636519711881707731622506407722143163847672064459333431572992021257881551867597529

q=10954856299233465126359914171500305822846165431085183673999109759449706415739193445885099004577509868426540084786683485568001351280541116090063034118634519

e=65537

msg=b' you fro'

至此,根据已有部分的明文,已经可以大致推测出明文逻辑,根据搜索,得到明文如下:

My secret is a famous saying of Albert Einstein. That is "Logic will get you from A to B. Imagination will take you everywhere.”

总结

通过本次实验,我对RSA体质各个参数的作用以及常见误用方式有了更深的了解,通过对RSA常见的攻击方式的实现,如共模攻击、因数碰撞攻击、低加密指数广播攻击、Pollard p-1分解攻击、Fermat分解攻击,不仅锻炼了自己的编程能力,还在一次次尝试与debug中对RSA加密体制有了更清楚的认识。了解到一个安全的加密体制,不仅仅需要其在理论证明上的安全性,只有使用者使用时按照要求,明确各个参数的作用,才能避免被轻易破解的问题。

在实验过程中,遇到最大的问题是刚拿到题目时,试图逐个帧依次破解,但是少量的知识储备使我一度无从下手、毫无思绪。之后,通过搜索,从许多优秀的博客中了解到了每个帧大致的攻击方式和破解思路,由此才一步一步先去了解相关攻击方式、再去实现、再尝试破解最终得到明文,在此十分感谢那些优秀博客的创作者。

参考文献

[1]《现代密码学》(红书)

[2]https://www.cnblogs.com/coming1890/p/13506057.html

[3]https://blog.csdn.net/Mitchell_Donovan/article/details/120771960

[4]https://blog.csdn.net/weixin_45859850/article/details/110479914

[5]https://blog.csdn.net/qq_45564150/article/details/124656223

[6]https://www.jianshu.com/p/76a05f18e969

M1LKzzz
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
密码学实验报告(RSA共模攻击\低指数攻击,椭圆曲线加密,DES实现)
05-03
用心写出来的实验报告,绝对原创。 文中代码均可运行,仍有一定优化空间,仅供参考。 其实还有好多密码学资源,如果浏览评论的人多的话考虑再发出来。 欢迎大家指正错误。
密码学大作业.zip
06-18
密码学大作业,通过python简单的实现RSA加密算法的操作,通过pyqt5添加了图形化界面,里面含有全部的源代码,并附带有说明书文档。内容简单易懂,有一定的参考价值。
东南大学密码学实验——RSA加解密算法
07-02
此资源包含完整代码和完整实验报告(加上你的学号姓名即可提交)
华中科技大学密码学课设rsa.cpp
04-22
华中科技大学密码学课设rsa.cpp,可以通过OnlineJudge。
RSA.rar_rsa_密码学 算法_密码学RSA
09-23
RSA加解密,南京理工大学密码学实验的源程序代码
RSA加密算法及一般攻击方式
Mr.DImple的博客
07-24 1万+
RSA算法 RSA公钥加密算法是RSA公钥加密算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。1987年7月首次在美国公布,当时他们三人都在麻省理工学院工作实习。RSA就是他们三人姓氏开头字母拼在一起组成的。 RSA是目前最有影响力和最常用的公钥加密算法,它能够抵抗到目前为止已知的绝大多数...
密码学RSA的攻与防_1.0
Mitchell_Donovan的博客
10-16 3179
本文阐述了RSA密码体制存在的一些小问题,并且给出了相应的防御措施。
BUUCTF RSA题目全解1
热门推荐
MikeCoke的博客
07-04 2万+
这里写目录标题RSArsarsa三级目录二级目录三级目录 RSA 直接用工具RSA Tool2点击这篇文章有介绍怎么用 得到flag{125631357777427553} rsarsa 也可以直接用工具RSA Tool2: 注意:题目中的e是十进制,在RSA Tool2中要改为16进制,用RSA Tool2求出私钥d,再用python函数pow()即可求出flag e = 65537 p...
关于RSA的几种攻击手段
pigeon_1的博客
03-04 6900
关于RSA的几种攻击手段1、公钥密码的简介2、RSA介绍2.1、基本原理合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1、公钥密码的简介 公钥密码包含两个密钥,加密密钥和解密密钥,其加密密钥是可以公开的,解密密钥是不能公开的。公钥密码自1
RSA攻击
Q221022的博客
03-26 2515
目录 RSA RSA的解密 RSA密钥对的生成 对RSA攻击 暴力破解求D Mallory中间人攻击 维纳攻击(Wiener’s Attack) 低指数攻击 低加密指数广播攻击 共模攻击 RSARSA中,明文、密钥和密文都是数字。加密过程可以用下列公式来表示 密文=明文 ^ E mod N 也就是说,RSA的密文是对代表明文的数字的E次方求mod N的结果。换句话说,就是将明文和自己做E次乘法,然后将其结果除以N求余数,这个余数就是密文。 加密公式中的E和N,
密码学入门代码(RSA,大整数,MD5,放射密码)
最新发布
04-18
密码学入门代码,RSA,大整数,MD5,放射密码,由c语言编写
RSA攻击方法总结笔记
m0_52842062的博客
08-09 3340
RSA攻击方式总结 1.模数分解 1).解题思路 ​ a).找到RSA算法中的公钥(e,n) ​ b).通过n来找到对应的p和q,然后求得φ(n) ​ c).通过gmpy2.invert或者gmpy2.gcdext可以求得e的逆元d ​ d).通过pow函数将密文解密(pow(a,b,c)函数的速度比直接写a**b mod c 要快) 2).直接分解n ​ a).通常情况下,如果n的长度小于256bit(二进制),那么可以通过本地的工具进行分解(RSATool2v17) ​ b).如
CTF-Crypto-RSA基本原理及常见攻击方法
H1zerguo的博客
10-04 3357
RSA
RSA常见攻击算法
qq_24966613的博客
11-27 7459
RSA算法描述 RSA算法涉及三个参数,n,e,d,私钥为n,d,公钥为n,e。 其中n是两个大素数p,q的乘积。 d是e模$ varphi(n) $的逆元,$ varphi(n) $是n的欧拉函数。 c为密文,m为明文,则加密过程如下: $ cequiv m^e mod n $ 解密过程如下: ...
RSA基本原理及常见攻击方法
qq_33163046的博客
06-15 1万+
RSA原理,RSA常见攻击方法,x509证书中提取N和e
密码学RSA的攻与防_3.0
Mitchell_Donovan的博客
10-24 1643
利用RSA的性质:E(PU,M1)*E(PU,M2)=E(PU,[M1M2])PU是公钥,M是待加密内容。即利用CCA攻击,可以用如下方式解密:假定一攻击者截获密文C =M^emod n,此时无法解密M,但可以执行如下计算:(1)计算(2)将X作为选择明文提交,并收到Y =X^dmodn观察下面的等式:M^e*因此,所以可得到消息M1.2 防御措施解决办法是在明文加密前先对明文进行随机填充,让密文随机化,
RSA攻击方法整理
九层台
10-20 1万+
RSA算法简述 ① 选两个保密的大素数p和q。 ② 计算n=p×q,φ(n)=(p-1)(q-1),其中φ(n)是n的欧拉函数值。 ③ 选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1。 ④ 计算d,满足d·e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因e与φ(n)互素,由模运算可知,它的乘法逆元一定存在。 ⑤ 以{e,n}为公开钥,{d,n}为秘密钥。 ...
RSA攻击
实践求真知
09-16 2090
一 对RSA攻击 1 密码破译者知道的息 密文:可以通过窃听来获取。 数E和N:公钥是公开的息,因此密码破译者知道E和N。  2 密码破译者不知道的息 明文:需要破译的内容。 数D:私钥至少D是不知道的息。 其他:密码破译者不知道生成密钥对时所使用的p、q和L 二 通过密文来求明文 RSA的加密过程如下。 密文=明文的E次方 mod N 由于密码破译者知道密文、E和...
RSA原理及其攻击方法
sinri的博客
07-10 4301
RSA原理及其攻击方法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 密钥产生: 1.选两个大素数p和q 2.计算n=p*q,欧拉函数*φ(n) =(p-1) (q-1) 3.选一整数e,满足1<e<φ(n),且gcd(φ(n),e)=1,即φ(n)与e互质 4.计算d,满足d *e≡1 mod φ(n),即d是e在模φ(n)下的乘法逆元,因为e与φ(n)互素,由模运算可知,它的乘法逆元一定存在(欧拉定理:若a与n互素,则a^φ(n)≡1 mod n) 5.
头歌c++rsa密码学答案
06-22
因为两个大质数相成的结果可以很容易地被算出,但是把一个大数分解成两个大的质数却很难,这就是RSA密码学的基础。 总的来说,RSA密码学非常的安全,因为它的复杂度是非常高的。同时它的使用范围非常的广泛,涉及的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值