【密码学RSA】共模攻击原理详解_已知e1*e2的共模攻击题

最新推荐文章于 2023-10-08 17:16:59 发布
最新推荐文章于 2023-10-08 17:16:59 发布
阅读量1w 收藏 73
点赞数 24
分类专栏: rsa 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serendipity1130/article/details/120154534
版权

本题需要了解共模攻击推导过程及原理:

1.共模攻击原理

共模攻击即用两个及以上的公钥(n,e)来加密同一条信息m
已知有密文:
c1 = pow(m, e1, n)
c2 = pow(m, e2, n)
条件:
当e1,e2互质,则有gcd(e1,e2)=1
根据扩展欧几里德算法,对于不完全为 0 的整数 a,b,gcd(a,b)表示 a,b 的最大公约数。那么一定存在整数 x,y 使得 gcd(a,b)=ax+by
所以得到:
e1*s1+e2*s2 = 1
因为e1和e2为正整数,所以s1、s2皆为整数,但是一正一负,此时假设s1为正数,s2为负数

2.推导过程:

这里需要用到两条幂运算的性质:

(a * b) % p = (a % p * b % p) % p
a ^ b % p = ((a % p) ^ b) % p

因为c1 = m^e1%n,c2 = m^e2%n,需要证明m=(c1^s1*c2^s2)%n

代入可得:

(c1^s1*c2^s2)%n = ((m^e1%n)^s1(m^e2%n)^s2)%n

                             =((m^e1%n)^s1*(m^e2%n)^s2)%n

                             =((m^e1)^s1%n*(m^e2)^s2%n)%n   //消掉%n

                             =((m^e1)^s1*(m^e2)^s2)%n

                             =((m^(e1*s1)*(m^(e2*s2))%n   //幂的乘方,底数不变,指数相乘

                             =(m^(e1*s1+e2*s2))%n   //同底数幂相乘,底数不变,指数相加

又因为m<n,所以(c1^s1*c2^s2)%n=m%n=m

1.题目:

e1*e2= 59653
n= 16282992590526808657350657123769110323293742472515808696156540766049532922340638986423163288656942484229334024198335416611687418341772216996129634991032127943095069143600315325916614910606100091970611448259491799589221889445348698100959509165262891180065554743420149168801638644589921791426690475846945077068114953844817073866258377206796158690941199907230130273657375727245023893672164113928189304228859412794067127721813637080447782673535996272223836127807775157150041664783263093604946744032762535394974814371771505843653571711445892969781888188805943142126747365056482511805191315474848971218180999336497135314654469910566730389765499603897685968204361422568601724914800686608628299192714352963744010136960423806304763245890692476493455775025753944860040020178234660999290356849442926396627701588938894161779071628447041006556793933320976506046066961014953196791133933438500843139378274786265308568167479880984705152809744111382599071097574636570516674122980589207824718402382459624138317432883921371298272851693734695823787102433937406420318428888224246291987404818042038201886113203158444083427668636941
c1= 15508846802476602732219982269293312372397631462289816533805702700260237855119470146237752798828431803179124957728439730580289236458563016332461725094295883030444173189424666004498359269921250956676320570006883951982237098373954348825003467019876101438948387668628518937831820206221522881150831840296199498447304138839838135264071071817072965792514115711621435317078108239744829134467948386247696344881838815422262901903767893118533887779588425725845820071451782420200868341564360095012698956683395031351656817392008005928265838760875070634021907630535014959579709368637536268853337028760833769278841040734409299575870823873616769863828516877971432999417800417684146077045836940988096634144368727546539602310924702126212020003620219218637652874119299016382481718659448722433296761241365473608283436835986184098161365747699791248301452334044327014782249692551362625130537300221641910570569803981153117200694806974917501061411963827755822672178568783269357196133308719688843211664095412087717861154226475203597889635926903753481174280305996204091501578865951177135086807765873529089048911740160698421289371229606
c2= 7038544062804420883340530319534054090343999593726615071597649914714397773106261660516938820194721330117082799104642674913839235601210294807255855747823709326405317366422536981850436536877639492293904186333547681934006229055311359852552059601531864585759120757265084674695094298158389804437120173997679271166467086009884419942249925895393890707373985126949313101489352481737754459985522998334847972008827503987883850638250024631354158979424169551575287515128697843093987592614974905262077415255065744686115142126350167970451060399517705823298929164793769442986603707135790651560436497661713972277808036463771768932747376668116480068277125579165831615220097562066809632099809702980365194257899499384219864311379004681733844738981954144617140038448109869114888325128710654235506628539192955240723379334422880368605005772426413018696218105733457019400100498450734710865067764542737004071080719589912326985050985424145053072697267879019954400205613591419766583673115931337146967400159040252514654983240188915104134405655336152730443436887872604467679522955837013574944135975481174502094839012368918547420588186051

2.分析过程:

已知n相同,所以本题考虑共模攻击,但是不知道e的具体数值仅知道e1*e2,然后这里使用共模攻击脚本是无法解出来的,原因是用正常脚本计算出来的m为km。

实验如下:

分解e1e2:(图片的文字少打了一个1:公约数为11)

因此,根据上面推导的共模攻击公式:

(c1^s1*c2^s2)%n=(m^(e1*s1+e2*s2))%n=(m^11)%n

3.所以,需要对e进行爆破的同时,需要对m^k进行判别,脚本如下:

n= 16282992590526808657350657123769110323293742472515808696156540766049532922340638986423163288656942484229334024198335416611687418341772216996129634991032127943095069143600315325916614910606100091970611448259491799589221889445348698100959509165262891180065554743420149168801638644589921791426690475846945077068114953844817073866258377206796158690941199907230130273657375727245023893672164113928189304228859412794067127721813637080447782673535996272223836127807775157150041664783263093604946744032762535394974814371771505843653571711445892969781888188805943142126747365056482511805191315474848971218180999336497135314654469910566730389765499603897685968204361422568601724914800686608628299192714352963744010136960423806304763245890692476493455775025753944860040020178234660999290356849442926396627701588938894161779071628447041006556793933320976506046066961014953196791133933438500843139378274786265308568167479880984705152809744111382599071097574636570516674122980589207824718402382459624138317432883921371298272851693734695823787102433937406420318428888224246291987404818042038201886113203158444083427668636941
c1= 15508846802476602732219982269293312372397631462289816533805702700260237855119470146237752798828431803179124957728439730580289236458563016332461725094295883030444173189424666004498359269921250956676320570006883951982237098373954348825003467019876101438948387668628518937831820206221522881150831840296199498447304138839838135264071071817072965792514115711621435317078108239744829134467948386247696344881838815422262901903767893118533887779588425725845820071451782420200868341564360095012698956683395031351656817392008005928265838760875070634021907630535014959579709368637536268853337028760833769278841040734409299575870823873616769863828516877971432999417800417684146077045836940988096634144368727546539602310924702126212020003620219218637652874119299016382481718659448722433296761241365473608283436835986184098161365747699791248301452334044327014782249692551362625130537300221641910570569803981153117200694806974917501061411963827755822672178568783269357196133308719688843211664095412087717861154226475203597889635926903753481174280305996204091501578865951177135086807765873529089048911740160698421289371229606
c2= 7038544062804420883340530319534054090343999593726615071597649914714397773106261660516938820194721330117082799104642674913839235601210294807255855747823709326405317366422536981850436536877639492293904186333547681934006229055311359852552059601531864585759120757265084674695094298158389804437120173997679271166467086009884419942249925895393890707373985126949313101489352481737754459985522998334847972008827503987883850638250024631354158979424169551575287515128697843093987592614974905262077415255065744686115142126350167970451060399517705823298929164793769442986603707135790651560436497661713972277808036463771768932747376668116480068277125579165831615220097562066809632099809702980365194257899499384219864311379004681733844738981954144617140038448109869114888325128710654235506628539192955240723379334422880368605005772426413018696218105733457019400100498450734710865067764542737004071080719589912326985050985424145053072697267879019954400205613591419766583673115931337146967400159040252514654983240188915104134405655336152730443436887872604467679522955837013574944135975481174502094839012368918547420588186051
e1e2= 59653

import libnum
import gmpy2

def rsa_gong_N_def(e1,e2,c1,c2,n):  #共模攻击函数
    e1, e2, c1, c2, n=int(e1),int(e2),int(c1),int(c2),int(n)
    print("e1,e2:",e1,e2)
    s = gmpy2.gcdext(e1, e2)
    print("mpz:",s)
    s1 = s[1]
    s2 = s[2]
    if s1 < 0:
        s1 = - s1
        c1 = gmpy2.invert(c1, n)
    elif s2 < 0:
        s2 = - s2
        c2 = gmpy2.invert(c2, n)
    m = (pow(c1,s1,n) * pow(c2 ,s2 ,n)) % n
    return int(m)

def de(c, e, n): #因为此时的m不是真正的m,而是m^k,所以对m^k进行爆破
    k = 0
    while k<1000: #指定k小于1000
        mk = c + n*k
        flag, true1 = gmpy2.iroot(mk, e)  #返回的第一个数值为开方数,第二个数值为布尔型,可整除为true,可自行测试
        if True == true1:
            # print(libnum.n2s(int(flag)))
            return flag
        k += 1
for e1 in range(2,e1e2):
    if e1e2%e1==0:         #爆破可整除的e
        e2=e1e2//e1
        c=rsa_gong_N_def(e1, e2, c1, c2, n)
        e=gmpy2.gcd(e1,e2)
        m1=de(c, e, n)
        if m1:  #指定输出m1
            print(libnum.n2s(int(m1)))

5.所以在mpz(11)的地方得到flag: 

malloc_冲!
关注
  • 24
    点赞
  • 73
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rsa解密(已知nc1c2e1e2共模攻击)python3.py
01-03
rsa解密(已知nc1c2e1e2共模攻击)python3.py
中国剩余定理
qq_52193383的博客
08-12 638
中国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其中Mi’为Mi模mi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
RSA共模攻击数学原理
MikeCoke的博客
05-11 2225
To copy code without thinking is to play hooligan!!!!
RSA基本原理及常见攻击方法
热门推荐
qq_33163046的博客
06-15 1万+
RSA原理RSA常见攻击方法,x509证书中提取N和e
CTF-RSA_共模攻击原理及脚本
fengerxi33的博客
02-18 4191
CTF-RSA_共模攻击原理及脚本 共模攻击,也称同模攻击。 同模攻击利用的大前提就是,RSA体系在生成密钥的过程中使用了相同的模数n。 在CTF目中,就是 同一明文,同一n,不同e,进行加密。 m,n相同;e,c不同,且e1e2互质 出脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" fo
rsa共模攻击_rsa共模攻击_pythonrsa共模_rsa攻击方式_rsapython_rsa共模_
09-29
rsa共模攻击的几种解密方式,包括e指数很小和很大的情况
RSA共模攻击(包括原理)
INK
05-08 8144
RSA共模攻击原理
RSA共模攻击与共享素数
Aiwin的博客
06-07 3795
RSA共模攻击与共享素数的原理和ctf例
rsa解码——共模攻击
rreally的博客
02-08 2432
gcd(e1,e2)=1 此时则有 e1s1+e2s2 = 1 式中,s1、s2皆为整数,但是一正一负。 通过扩展欧几里德算法,我们可以得到该式子的一组解(s1,s2),假设s1为正数,s2为负数. 因为 c1 = m^e1%n c2 = m^e2%n 所以 (c1s1*c2s2)%n = ((me1%n)s1*(me2%n)s2)%n 根据模运算性质,可以化简为 (c1s1*c2s2)%n = ((me1)s1*(me2)s2)%n 即 (c1s1*c2s2)%n = (m(e1s1+e2^s2))%n
如何减小共模辐射?资料下载
07-06
共模辐射是由于接地电路中存在电压降(如下图),某些部位具有高电位的共模电压,当外接电缆与这些部位连接时,就会在共模电压激励下产生共模电流,成为辐射电场的天线。这多数是由于接地系统中存在电压降所造成的。共模辐射通常决定了产品的辐射性能。
共模电感如何抑制共模信号
01-20
什么是共模电感   共模电感有时候也叫共模扼流圈,它是一种用于滤除共模干扰信号的EMC常用元器件之一。   原理:流过共模电流时磁环中的磁通相互叠加,从而具有相当大的电感量,对共模电流起到抑制作用,而当两线圈流过差模电流时,磁环中的磁通相互抵消,几乎没有电感量,所以差模电流可以无衰减地通过。因此,共模电感在平衡线路中能够有效地抑制共模干扰信号,而对线路正常传输地查谟信号无影响。   共模电感在制作时应该改满足以下要求:   1.绕制在线圈磁芯上的导线要相互绝缘,以保证在瞬时过电压作用下线圈地匝间不发生击穿短路。   2.当线圈流过瞬时大电流时,磁芯不要出现饱和。   3.线圈中地磁
维生素B
02-09
将固体表面荧光法和荧光偏振测量相结合,直接利用固体粉末进行荧光偏振检测,研究了维生素B2固体粉末的荧光偏振度及其特性。实验结果表明,维生素B2固体粉末的荧光偏振度受激发光入射角影响;当样品粉末紧密度大于0.6667时,紧密度不会对荧光偏振度产生影响。在激发光入射角为45°条件下其荧光偏振度为0.4178。该结果为使用维生素B2水溶液进行荧光偏振检测的结果的1.42倍。对维生素B2固体粉末连续进行6 h照射激发,其荧光偏振度检测结果在误差范围内保持稳定。
errorfill:使用此函数绘制曲线及其置信区域。-matlab开发
06-01
用法:figurehandle= errorfill(x, y, E1, E2, ..., LineSpec) 使用此函数绘制曲线及其置信区域。 绘制线 y(x),然后绘制区域 E1(x)、E2(x)、...(实际上它以相反的顺序完成,以尽量减少重叠。) X: y、E1E2、...的 x 值如果 x 是标量,则使用 (x, x+1, x+2, ...)。 如果 x 为空,则使用 (1, 2, ...)。 值必须是有限的,而不是 NaN。 y: 定义曲线 y(x)。 值必须是有限的,而不是 NaN。 乙: y 的“错误”。 定义区域。 如果 E 是标量,则阴影将介于 y(n)*(1+E) 和 y(n)*(1-E) 之间。 如果 E 的大小为 (1,2) 或 (2,1),则它将介于 y(n)*(1+E(1)) 和 y(n)*(1-E(2)) 之间。 如果 E 是向量,则阴影将介于
密码学实验报告(RSA共模攻击\低指数攻击,椭圆曲线加密,DES实现)
05-03
用心写出来的实验报告,绝对原创。 文中代码均可运行,仍有一定优化空间,仅供参考。 其实还有好多密码学资源,如果浏览评论的人多的话考虑再发出来。 欢迎大家指正错误。
RSA.rar_rsa_密码学 算法_密码学RSA
09-23
RSA加解密,南京理工大学密码学实验的源程序代码
RSA.rar_RSA implementation_cryptography rsa_rsa_密码学_密码学RSA
09-20
RSA算法是密码学中一个重要算法,该程序给出了该算法的完整实现过程。
【无标
salted_fish365的博客
03-05 80
RSA加密算法是一种常用的公钥加密算法,但它并不是绝对安全的,存在多种攻击方法可以破解其加密过程。在本次实验中先使用了五种常见的RSA攻击算法,分别是共模攻击、因数碰撞、低加密指数广播攻击、Pollard p-1分解法攻击和费马分解法攻击。最后使用猜测攻击来尝试还原明文。通过本次实验加深了我队RSA加密算法的理解,明白了RSA加密在使用时应注意的事项。
RSA共模攻击
最新发布
s_hiy_iyi的博客
10-08 88
根据扩展欧几里德算法,对于不完全为 0 的整数 a,b,gcd(a,b)表示 a,b 的最大公约数。那么一定存在整数 x,y 使得 gcd(a,b)=ax+by。因为e1e2为正整数,所以s1、s2皆为整数,但是一正一负,此时假设s1为正数,s2为负数。共模攻击即用两个及以上的公钥(n,e)来加密同一条信息m。当e1e2互质,则有gcd(e1,e2)=1。e1 e2 为素数。
共模攻击 & 例
Emmaaaaa's blog
08-05 285
共模攻击 & 例
rsa共模攻击python实现
05-25
RSA 共模攻击是一种针对使用相同模数但不同公钥的 RSA 密码的攻击。下面是一个基于 Python 的 RSA 共模攻击实现: ```python from math import gcd from Crypto.Util.number import inverse def rsa_common_modulus_attack(c1, c2, e1, e2, n): """ RSA Common Modulus Attack """ # calculate gcd and Bezout coefficients gcd, a, b = extended_gcd(e1, e2) if a < 0: c1, c2, a, b = c2, c1, -a, -b # calculate message m1 = pow(c1, a, n) m2 = pow(c2, b, n) m = (m1 * m2) % n return m def extended_gcd(a, b): """ Extended Euclidean algorithm """ if b == 0: return a, 1, 0 else: gcd, x, y = extended_gcd(b, a % b) return gcd, y, x - (a // b) * y ``` 其中,输入参数包括两个密文 c1, c2,以及对应的公钥 e1, e2 和公共模数 n。函数返回解密后的明文。 具体实现过程如下: 1. 计算 e1e2 的 gcd 和 Bezout 系数 a, b。 2. 如果 a 小于 0,交换 c1 和 c2,同时将 a 和 b 取反(可参考 RSA CRT 攻击)。 3. 计算明文 m1 和 m2。 4. 计算明文 m,即 m1 * m2 mod n。 注意,这种攻击方法只适用于使用相同模数但不同公钥的 RSA 密码,因此在实际应用中需要注意公钥共模。此外,若两个密文的 gcd 不为 1,则无法使用此方法进行攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值