python判断素数的方法简书_深入浅出RSA在CTF中的攻击套路

最新推荐文章于 2022-12-21 16:13:18 发布
VIP文章 最新推荐文章于 2022-12-21 16:13:18 发布
阅读量2.5k 收藏 5
点赞数
文章标签: python判断素数的方法简书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36017951/article/details/113656724
版权

0x01 前言

本文对RSA中常用的模逆运算、欧几里得、拓展欧几里得、中国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSA在CTF中的套路题目。

0x02 RSA介绍

介绍

首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。

RSA是一种算法,并且广泛应用于现代,用于保密通信。

RSA算法涉及三个参数,n,e,d,其中分为私钥和公钥,私钥是n,d,公钥是n,e

n是两个素数的乘积,一般这两个素数在RSA中用字母p,q表示

e是一个素数

d是e模 varphi(n) 的逆元,CTF的角度看就是,d是由e,p,q可以求解出的

一般CTF就是把我们想要获得的flag作为明文,RSA中表示为m。然后通过RSA加密,得到密文,RSA中表示为C。

加密过程

c=m^e mod n

c=pow(m,e,n)

解密过程

m=c^d mod n

m=pow(c,d,n)

求解私钥d

d = gmpy2.invert(e, (p-1)*(q-1))

一般来说,n,e是公开的,但是由于n一般是两个大素数的乘积,所以我们很难求解出d,所以RSA加密就是利用现代无法快速实现大素数的分解,所存在的一种安全的非对称加密。

基础RSA加密脚本

from Crypto.Util.number import *

import gmpy2

msg = 'flag is :testflag'

hex_msg=int(msg.encode("hex"),16)

print(hex_msg)

p=getPrime(100)

q=getPrime(100)

n=p*q

e=0x10001

phi=(p-1)*(q-1)

d=gmpy2.invert(e,phi)

print("d=",hex(d))

c=pow(hex_msg,e,n)

print("e=",hex(e))

print("n=",hex(n))

print("c=",hex(c))

基础RSA解密脚本

#!/usr/bin/env python

# -*- coding:utf-8 -*-

import binascii

import gmpy2

n=0x80b32f2ce68da974f25310a23144977d76732fa78fa29fdcbf

#这边我用yafu分解了n

p=780900790334269659443297956843

q=1034526559407993507734818408829

e=0x10001

c=0x534280240c65bb1104ce3000bc8181363806e7173418d15762

phi=(p-1)*(q-1)

d=gmpy2.invert(e,phi)

m=pow(c,d,n)

print(hex(m))

print(binascii.unhexlify(hex(m)[2:].strip("L")))

0x03 p和q相差过大或过小

利用条件

因为n=p*q

其中若p和q的值相差较小,或者较大,都会造成n更容易分解的结果

例如出题如下

p=getPrime(512)

q=gmpy2.next_prime(p)

n=p*q

因为p和q十分接近,所以可以使用yafu直接分解

yafu分解

使用

factor(*)

括号中为要分解的数

0305f01b7d2a15c20257203075bee409.png

在线网站分解

http://factordb.com/

通过在此类网站上查询n,如果可以分解或者之前分解成功过,那么可以直接得到p和q

df98529960bd648477888cf11ed81287.png

0x04 公约数分解n

利用条件

当题目给的多对公钥n是公用了一个素数因子的时候,可以尝试公约数分解

出题一般如下

p1=getPrime(512)

p2=getPrime(512)

q=getPrime(512)

n1=p1*q

n2=p2*q

所以当题目给了多个n,并且发现n无法分解,可以尝试是否有公约数。

欧几里得辗转相除法

求公约数可以使用欧几里得辗转相除法,实现python脚本如下

def gcd(a, b): #求最大公约数

if a < b:

a, b = b, a

while b != 0:

temp = a % b

a = b

b = temp

return a

用例

def gcd(a, b): #求最大公约数

if a < b:

a, b = b, a

while b != 0:

temp = a % b

a = b

b = temp

return a

n1=0x6c9fb4bf11344e4c818be178e3d3db352797099f929e4ba8fa86d9c4ce3d8f71e3daa8c795b67dc2dabe1e1608836904386c364ecec759c27eaa83eb93710003d4cc848e558f7b11372405c5787b60eca627372767455a5fcf30cb6c157ca5a6267d63ffa16fe49e7433136a47945de2219f46a35f2b6a58196057c602e72a0b

n2=0x46733cc071bdee0d178fb32836a6b0a2f145a681df47d31ea9d9fc5b5fa0cc7ddbcd34531aefeace9840fc890f7a111f73593c9a41886b9a6f91cde3e6f9c71821a8ad877de51f78094599209746e80635c5625459ad7ba14f926b74875c8980a9436d6bbd54e1d9da72ae200383516098c04e24f58b23b4a8142cef0c931a55

print(gcd(n1,n2))

使用欧几里得辗转相除得到共有的因子,然后n1和n2除以这个因子,即可得到另一个素数因子。

0x05 模数分解

场景

已知e,d,n求p,q

例如

('d=', '0x455e1c421b78f536ec24e4a797b5be78df09d8d9e3b7f4e2244138a7583e810adf6ad056bb59a91300c9ead5ed77ea6bafdebf7ab2d9ec200127901083c7ffca45e83f2c934358366a2b6207b96a0eae6df0476060c063c281512834a42350a3b56bc09f5cec1a6975257d7f12a58f6389060e49b41f05e88ea2b30b395f6391')

('e=', '0x10001')

('n=', '0x71ee0f4883690893ab503e97e25e6308d4c1e0a050cbea7b9c040f7a5b5b484afcecc8a9b3cc6bf089a1e83281562df217caab7220e3dfc14399139ce437af2f131f9345675e4d848cfab5827818eeab7834374be4a0513f81f3df125a932c2bb4c24c834d798bcc80f9c4a8770b01f8e54620b72a4f0491edd391e635d48e71L')

模数分解

私钥d的获取是通过

d = gmpy2.invert(e, (p-1)*(q-1))

分解p,q python实现如下

import random

def gcd(a, b):

if a < b:

a, b = b, a

while b != 0:

temp = a % b

a = b

b = temp

return a

def getpq(n,e,d):

p = 1

q = 1

while p==1 and q==1:

k = d * e - 1

g = random.randint ( 0 , n )

while p==1 and q==1 and k % 2 == 0:

k /= 2

y = pow(g,k,n)

if y!=1 and gcd(y-1,n)>1:

p = gcd(y-1,n)

q = n/p

return p,q

完整用例

import random

def gcd(a, b):

if a < b:

a, b = b, a

while b != 0:

temp = a % b

a = b

b = temp

return a

def getpq(n,e,d):

p = 1

q = 1

while p==1 and q==1:

k = d * e - 1

g = random.randint ( 0 , n )

while p==1 and q==1 and k % 2 == 0:

k /= 2

y = pow(g,k,n)

if y!=1 and gcd(y-1,n)>1:

p = gcd(y-1,n)

q = n/p

return p,q

n=0x71ee0f4883690893ab503e97e25e6308d4c1e0a050cbea7b9c040f7a5b5b484afcecc8a9b3cc6bf089a1e83281562df217caab7220e3dfc14399139ce437af2f131f9345675e4d848cfab5827818eeab7834374be4a0513f81f3df125a932c2bb4c24c834d798bcc80f9c4a8770b01f8e54620b72a4f0491edd391e635d48e71

e=0x10001

d=0x455e1c421b78f536ec24e4a797b5be78df09d8d9e3b7f4e2244138a7583e810adf6ad056bb59a91300c9ead5ed77ea6bafdebf7ab2d9ec200127901083c7ffca45e83f2c934358366a2b6207b96a0eae6df0476060c063c281512834a42350a3b56bc09f5cec1a6975257d7f12a58f6389060e49b41f05e88ea2b30b395f6391

p,q=getpq(n,e,d)

print("p=",p)

print("q=",q)

print(p*q==n)

0x06 dp&dq泄露

介绍

首先了解一下什么是dp、dq

dp=d%(p-1)

dq=d%(q-1)

这种参数是为了让解密的时候更快速产生的

场景

假设题目仅给出p,q,dp,dq,c,即不给公钥e

('p=', '0xf85d730bbf09033a75379e58a8465f8048b8516f8105ce2879ce774241305b6eb4ea506b61eb7e376d4fcd425c76e80cb748ebfaf3a852b5cf3119f028cc5971L')

('q=', '0xc1f34b4f826f91c5d68c5751c9af830bc770467a68699991be6e847c29c13170110ccd5e855710950abab2694b6ac730141152758acbeca0c5a51889cbe84d57L')

('dp=', '0xf7b885a246a59fa1b3fe88a2971cb1ee8b19c4a7f9c1a791b9845471320220803854a967a1a03820e297c0fc1aabc2e1c40228d50228766ebebc93c97577f511')

('dq=', '0x865fe807b8595067ff93d053cc269be6a75134a34e800b741cba39744501a31cffd31cdea6078267a0bd652aeaa39a49c73d9121fafdfa7e1131a764a12fdb95')

('c=', '0xae05e0c34e2ba4ca3536987cc2cfc3f1f7f53190164d0ac50b44832f0e7224c6fdeebd2c91e3991e7d179c26b1b997295dc9724925ba431f527fba212703a0d14a34ce133661ae0b6001ee326303d6ccdc27dbd94e0987fae25a84f197c1535bdac9094bfb3846b7ca696b2e5082bea7bff804da275772ca05dd51b185a4fc30L')

解密代码如下

InvQ=gmpy2.invert(q,p)

mp=pow(c,dp,p)

mq=pow(c,dq,q)

m=(((mp-mq)*InvQ)%p)*q+mq

print '{:x}'.format(m).decode('hex')

解题完整脚本

import gmpy2

import binascii

def decrypt(dp,dq,p,q,c):

InvQ = gmpy2.invert(q,p)

mp = pow(c,dp,p)

mq = pow(c,dq,q)

m=(((mp-mq)*InvQ)%p)*q+mq

print (binascii.unhexlify(hex(m)[2:]))

p=0xf85d730bbf09033

最低0.47元/天 解锁文章
jczhl
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python3实现爬取简书首页文章标题和文章链接的方法【测试可用】
12-25
本文实例讲述了Python3实现爬取简书首页文章标题和文章链接的方法。分享给大家供大家参考,具体如下: from urllib import request from bs4 import BeautifulSoup #Beautiful Soup是一个可以从HTML或XML文件提取...
gmpy2库的常用函数及其作用
Luiino的博客
05-06 8924
第一次做RSA题,去找题解,发现得用上gmpy2库,下好之后去了解了一下gmpy2库的常用函数 注:一般是用这个库来解决一些大整数之间的各种计算,下面的例子都是举的常规数 1、求两整数的最大公因数 import gmpy2 #求整数a、b的最大公因数 a = gmpy2.gcd(3,12) print(a) 输出:3 2、判断一个数是否为素数 import gmpy2 #判断一个数是否为素数 a = gmpy2.is_prime(5) print(a) 输出:True 3、判断一个数是否
RSA p+1或p-1光滑
m0_62506844的博客
07-14 2812
rsa,如果p或q生成不当导致p+1或者p-1光滑,则可能会易被攻击 参考:ctf wiki 【大数分解】Pollard‘s p-1 method 光滑数 (Smooth number):指可以分解为小素数乘积的正整数p-1光滑(Pollard‘s p-1 method):根据费马小定理(Fermat Theorem),若p是素数,且p不整除a,则有: ap−1≡1 (mod p)a^{p-1}\equiv 1~(mod~p)ap−1≡1 (mod p) B-Smooth数:如果一个整
[CISCN 2021 华南赛区]rsa Writeup
bestkasscn的博客
05-16 729
[CISCN 2021 华南赛区]rsa 题目描述 from flag import text,flag import md5 from Crypto.Util.number import long_to_bytes,bytes_to_long,getPrime assert md5.new(text).hexdigest() == flag[6:-1] msg1 = text[:xx] msg2 = text[xx:yy] msg3 = text[yy:] msg1 = bytes_to_long(
CTFSHOW easyrsa1-6 Writeup
abtgu的博客
09-17 2287
easyrsa1 题目: 无 解题思路: 题给了e,n,c,可以分解n得到p,q,在线分解大整数网址http://www.factordb.com/index.php 。脚本如下: import gmpy2 import binascii e = 65537 n = 1455925529734358105461406532259911790807347616464991065301847 c = 69380371057914246192606760686152233225659503366319332
深入浅出RSACTF攻击套路
CTF小白的博客
12-05 2万+
0x01 前言 本文对RSA常用的模逆运算、欧几里得、拓展欧几里得、国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSACTF套路题目。 0x02 RSA介绍 介绍 首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。 RSA是一种算法,并且广泛应用于现代,用于保密通信。 RSA...
深入浅出机器学习》之强化学习
01-27
本文来自于简书,本文章主要通过举例来论证机器学习算法,通过矩阵进行强化学习介绍。所谓强化学习就是智能系统从环境到行为映射的学习,以使奖励信号(强化信号)函数值最大。如果Agent的某个行为策略导致环境正的...
java-rbtree-project-ok.rar_B树_R 树_R树java_r树和r树简书_树
09-24
R树与B树的混合树,在这个程序里面可以直接用R树和B树
RSA学习记录
http://www.lunatic007.top/
05-04 881
RSA学习记录
RSA-p和q挨得很近(费马分解)
admin的博客
11-20 6803
一、基础 最简单的就是拿yafu直接分解,但是我们得知道那个算法的原理, 就是现在p,q是两个素数,而且他俩在素数序列里面就是一前一后的关系。所以我们要把他俩的乘积开根号得到的结果一定是在p,q之间的一个数字,(而且一定不是素数,因为p,q就是紧邻的两个素数)。 那我们找这个开方出来的数字的下一个素数,一定是q,因此我们再让n/q就可以得到两个素数。(这是第一种方法,必须得保证两个数为素数,而且挨得很近才行,我们还会介绍第二种方法,即使有一个不是素数也可以解决。...
python gmpy2模块、yafu的简单学习记录(RSA向)
chneft的博客
11-30 1553
假设小红想传输一段信息给小白,她只需要用公钥对信息进行加密,然后把加密过的信息传给小白,由于有且仅有私钥才能对密文进行解密,即使在传输过程密文被第三者截取,也不会导致信息泄露,从而只有私钥持有者小白和发送者小红才能知道原始信息。大概了解了rsa的加解密流程,来到做题的重点部分,往往题目会告诉解题人e和N以及密文s(告知其它值也同理),要得到原文m的话,需要知道私钥d,而欲解出d,得知道phi(N),进而通过ed mod(phi(N)) = 1得解d。,这里d定义为私钥,d又叫做e的逆元。
7.20刷题
PUTAOAO的博客
07-20 230
[羊城杯 2020]Power 得到了dp 和 关于p的一个方程 看下部分求p 求离散对数 https://www.cnblogs.com/YuanZiming/p/13070883.html sympy的常用函数总结~ import sympy y = 44970334770928732898244681231887015823036968862589430795360407450241325804526550249636599838356211991556508051807736083970500405
Python 判断素数(质数)的方法讲解
热门推荐
Herishwater的博客
06-26 8万+
质数又称素数。指在一个大于1的自然数,除了1和此整数自身外,不能被其他自然数整除的数。素数在数论有着很重要的地位。比 1 大但不是素数的数称为合数。1 和 0 既非素数也非合数,2 是素数。 1.判断是否是素数: import timeit from math import sqrt def isPrimes1(n): if n <= 1: return Fal......
国剩余定理
qq_52193383的博客
08-12 637
国剩余定理: 设m1,…,mk是k个两两互素的正整数,则对任意的整数b1,…,bk,同余式组: x ≡ b1 (mod m1) …… …… …… x = bk (mod mk) 一定有解,且解是唯一的。 (1)若令m = m1*…*mk,m = mi * Mi, i = 1,…k 则同余式组的解可以表示为 x ≡ b1 * M1’ * M1 + … + bk * Mk’ * Mk (mod m) 其Mi’为Mi模mi的逆元,即Mi’ * Mi ≡ 1 (mod mi),i = 1,…,k (2)若令N
RSA解密之大素数分解和共模攻击Python实现
weixin_45616281的博客
12-21 3954
CTF密码学关于RSA解密的部分解题思路及过程,包括:大素数分解、RSA共模攻击的解析和Python实践。
CF6D Lizards and Basements 2题解
小白菜的博客
10-16 270
CF6D Lizards and Basements 2 题意:有n个人,编号1到n,每个人有血量hih_ihi​对某个人攻击会产生a点伤害,会波及到相邻的人,对相邻的人产生b点伤害(1和n号人不能攻击),问最少要攻击多少次才能让所有人的h小于0,分别攻击了谁。 解法:dfs搜索,先处理出每个人最多攻击多少次,对攻击次数枚举,每次保证当前点前所有人h值已经小于0。 代码: #include<bits/stdc++.h> using namespace std; const int N = 20;
领航杯2022年-Crypto-rsa
Laffrey的专栏
09-03 1031
领航杯2022年-Crypto-rsa
python3 题解(4)最大公约数
可雷曼土的日志
08-30 247
最大公约数 【问题】整数域上,a的约数指的是:所有能都够整除a的数字。a,b的公约数指:所有能同时整除a,b两个数字的数。a,b的最大公约数,毫无疑问就是这些数字最大的一个。 比如: 5 8 最大公约数为1, 15 40 最大公约数是5。 编程求 a,b的最大公约数。 这个问题最笨的解法是从较小的一数开始,一直往下测试每一个数字的整除可能性。找到第一个能同时整除a,b的即是解。 当然,数字一大,...
【入门】4、最大公约数
qingyuliu_的博客
09-07 110
方一:核心:gcb(a, b) = gcb(b, a%b) class Solution: def gcd(self , a , b ): if a%b == 0: return b else : return self.gcd(b,a%b) 方二:暴力枚举 不知道为什么通过率7/10 class Solution: def gcd(self , a , b ): mi=mi.
python 递归函数 简书
最新发布
10-18
Python递归函数是指一个函数在其函数体内调用自己的一种方法。它是一种简洁而有力的编程技巧,适用于解决需要重复进行相同或者相似操作的问题。 在Python,使用递归函数的语法很简单,只需要在函数体内调用自身并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值