crypto_solveit2022(rsa中coppersmith攻击应用)

最新推荐文章于 2025-01-25 12:24:09 发布
最新推荐文章于 2025-01-25 12:24:09 发布
阅读量2k 收藏 14
点赞数
分类专栏: crypto 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/figfig55/article/details/127283671
版权
本文介绍了一道复杂的RSA题目,通过连分数攻击求解密钥垫pad,并利用Coppersmith方法和近似算法破解p和q,最终成功解密获得flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今年遇到的另一道rsa题,知识点比较杂记录一下。

题目很简单,给出两段rsa加密逻辑:

from libnum import s2n
from gmpy2 import next_prime
from Crypto.Util.number import getPrime, getStrongPrime

flag = b'***************************'
m = s2n(flag)
data1 = getPrime(128)
data2 = getPrime(128)

if data1 > data2:
    data1, data2 = data2, data1

pad = data1 * data2
e = 65537
p = getStrongPrime(512)
q = next_prime(p ^ (1 << 512) - 1 ^ 1145141919810)
n = p * q
m = m ^ (pad**3)
c = pow(m, e, n)
print("c = {}".format(c))
print("n = {}".format(n))

'''
c = 4876198060325558549288995522100507087517821034108816602164382070749684285584225421889164875913824962554132279846256774271230741598793103772088831581334775807966395144586271639023739926023422461534946692758208303683848234357028505178292070426362296226890794270835780238370200672015289469862799153558118626538
n = 22496691787129427749959005524646018077441588595947356500541791402307996665819440265849843924260051516521718141146431339445253436586359746245186586849516881880135888115635970343512176471451755147483038942057104297542535022428306408447982927962678529654674038001433905787928883880082539446749721026403230355477
'''

*******************************
bound = 2**128
prec = 400
ring = RealField(prec)
data3 = ring(data1 / data2)

#data3 = 0.576745262648089166053295786066675247383735995449723064673392221201629992787992198615151331712300834922059228957126784067
*******************************

大概分析一下,p和q是512bit的大素数,明文先与pad**3进行异或以后rsa加密,所以本题关键的两个问题一个就是求解p和q,另一个就是求解pad。

首先求解pad想到的是应用连分数攻击,找到分子分母128bit的渐进分数逼近data3:

#sage exp
data3 = 0.576745262648089166053295786066675247383735995449723064673392221201629992787992198615151331712300834922059228957126784067

c = continued_fraction(data3)
print(c)

alist = c.convergents()
print(alist)

for i in alist:
    a = str(i).split('/')
    if len(a)>1 and gcd(int(a[0]),int(a[1])) == 1 and is_prime(int(a[0])) and is_prime(int(a[1])) and int(a[0]).bit_length()==128 and int(a[1]).bit_length()==128:
            print(a)

#['182219017730986958273958989689968387899', '315943674845875518476789636594922239111']

如此一来pad问题就解决了。接下来需要求p和q。先去factordb查了一波没查到结果,只能想办法硬算,近似算法具体算法参考以下这篇:

【zer0pts CTF 2022】 Anti-Fermat(p、q生成不当)_Paintrain的博客-优快云博客

针对本题的话根据p+q\approx1<<512 

可以得到近似p=(iroot(pow(2,1024)-4*n,2)[0]+pow(2,512))//2+1145141919810

然后用coppersmith方法攻击p值的低位原理参考这篇:

【CTF RSA】Coppersmith攻击 - 简书

所以解密脚本为:

#sage exp
from Crypto.Util.number import *
import gmpy2
c = 4876198060325558549288995522100507087517821034108816602164382070749684285584225421889164875913824962554132279846256774271230741598793103772088831581334775807966395144586271639023739926023422461534946692758208303683848234357028505178292070426362296226890794270835780238370200672015289469862799153558118626538
n = 22496691787129427749959005524646018077441588595947356500541791402307996665819440265849843924260051516521718141146431339445253436586359746245186586849516881880135888115635970343512176471451755147483038942057104297542535022428306408447982927962678529654674038001433905787928883880082539446749721026403230355477
e=65537

#estimate p
px=(gmpy2.iroot(pow(2,1024)-4*n,2)[0]+pow(2,512))//2+1145141919810
print(px)
p=int(px)

P.<x>=PolynomialRing(Zmod(n))  #对p进一步爆破
for i in range(100,1000):
    f=x+ZZ(((p>>i)<<i))      #注意加上整数环ZZ,因为x是个环内的数,不然会报错,不信你可以试试
    root=f.small_roots(X=2^i,beta=0.4)
    if root!=[]:
        p=root[0]+ZZ(((p>>i)<<i))
        break
print(p)

q=ZZ(n)//ZZ(p)
phi=ZZ((p-1)*(q-1))
d=gmpy2.invert(e,phi)
m=ZZ(pow(c,d,n))
print(m)

data1=182219017730986958273958989689968387899
data2=315943674845875518476789636594922239111
pad = data1 * data2
print(pad**3)

#190813940127169285428485324804754938788990669565404586938424781084071030386363403117434253462457023978333955353156254005360622226335647610163254072330538141918676938868012557681771059410152661947776076466998765803516367248870831928
#190813940127169285428485324804754938788990669565404586938424781084071030386363403117434253462457023978333955353156254005360622226315064447374106848135025311597743809754751326596877994873102973248296727123176719173187699013097440069
mm=m^^(pad**3)
#mm=56006392793427429214108738999096395450496940694719089841200007225830160331551005145390312324435424381
flag=long_to_bytes(mm)
print(flag)

从零开始学RSA:已知dp,dq求解m和CopperSmith定理攻击
weixin_44626085的博客
04-10 1806
sage是基于python开发,所以python的语法几乎对它完全适用,但是sage自己还开发出了很多语法格式和数学公式,学习难度还是不低的,所以我把这些脚本都当做了工具,拿来直接用,自己写出来似乎能力还不够,因为不光要学语法,关键是这里面的数学算法知识。什么叫m的高位呢,很简单,比如题目给你m=0x65c46754a7776c8b88867e000000000000000000 前面的部分就是高位,后面的0就是低位,0只是占位的作用并不是真正m的值。要求出完整的m的值。
CryptoRSA(一)
XXJya的博客
11-18 3733
最近在学习CTF中Crypto,整理一些关于RSA的知识点,以及在以往比赛中出现的题目。 完美的密码技术因为有不完美的人类参与而无法实现完美的安全性。 简单介绍RSA RSA是1977年由 罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼 (Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的,三个人名字要有印象,有些题目会用这三个名字,这样可以帮助我们快速判断题目。 RSA公开密钥密码体制的
CoppersmithAttack:铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下
05-11
铜匠攻击 铜史密斯定理在攻击RSA方面有许多应用,特别是在公共指数e很小或对密钥有部分了解的情况下。 LowPublicExponent:当e较小且不填充时。 包含两个案例“ trival”,“Håstad”案例 平凡的情况:如果m ^ 3 <N> N,但我们有多对c,n
Coppersmith攻击系列
最新发布
huangdingyu6的博客
01-25 418
给定一个多项式f(x)要找到多项式在模N意义下的根x_0,在不加限制的情况下,这是一个很困难的问题,因为f(x_0)可以特别的大,只需要是N的倍数就可以,模N这一步带来了很多的困难,首先考虑一个特殊情况,如果f(x_0)=0那么可以用牛顿迭代法求出来,但是牛顿迭代法遇到模N就失灵了,因为f(x_0)不再是一个确定的值了,那我们不妨假设一下 :Coppersmith方法可以保证,如果M足够小就可以把x_0求出来大概的思路是:如果x_0足够小,使得f(x_0)的绝对值小于N,又因为f(x_0)模N等于0,那么f
RSA密码系统的特定密钥泄露攻击Coppersmith方法的应用
PrimiHub的博客
06-21 1714
RSA算法的基本流程包括密钥生成、加密和解密三个过程。其数学基础主要依赖于欧拉定理和模幂运算。通过合理选择密钥参数,可以保证加密和解密过程的正确性和安全性。Coppersmith方法基于Lattice reduction(格约简)和LLL算法(Lenstra–Lenstra–Lovász)的结合,用于找到模数下的小根。其核心思想是将求解模多项式方程的问题转化为一个格中的短向量问题。
密码学实验-RSA算法的几种攻击方法的实现
weixin_52111404的博客
09-22 2308
密码学实验
CRYPTO [61dctf]cry Writeup(RSA已知p的高位攻击
01-20
Coppersmith攻击:已知p的高位攻击 关键点:用SageMath 恢复RSA完整的p 题目给了源码,其中print如下信息: print ====welcome to cry system==== (p,q,n,e,d)=rsa_gen() print give you the public key: print n...
RSA-and-LLL-attacks:通过晶格约简(LLL)攻击RSA
04-30
首先,我们将看到Coppersmith如何发现您可以使用晶格简化技术来攻击宽松的RSA模型(我们知道消息的一部分,或者我们知道其中一个素数的一部分,...)。 以及Howgrave-Graham如何重新制定他的进攻方式。 其次,我们...
python判断素数的方法简书_深入浅出RSA在CTF中的攻击套路
weixin_36017951的博客
02-03 2676
0x01 前言本文对RSA中常用的模逆运算、欧几里得、拓展欧几里得、中国剩余定理等算法不展开作详细介绍,仅对遇到的CTF题的攻击方式,以及使用到的这些算法的python实现进行介绍。目的是让大家能轻松解决RSA在CTF中的套路题目。0x02 RSA介绍介绍首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。RSA是一种算法,并且广泛应用于现代,用于保密通信。RSA算法涉及三个...
2019强网杯 - 密码学-RSA-Coppersmith
热门推荐
BlusKing
05-28 2万+
Coppersmith 相关攻击 学习资料: https://ctf-wiki.github.io/ctf-wiki/crypto/asymmetric/rsa/rsa_coppersmith_attack/ https://code.felinae98.cn/ctf/crypto/rsa%E5%A4%A7%E7%A4%BC%E5%8C%85%EF%BC%88%E4%BA%8C%EF%BC%...
CRYPTO CTF 2022 easy
m0_62506844的博客
07-23 567
慢慢更新~
关于coppersmith的例题
guyanqiuqiu的博客
06-16 2327
rsa中高位攻击方式所遇到的一些非套路的题目
RSAcoppersmith定理的应用条件
M3ng@L的博客
03-20 1万+
coppersmith在已知p多少位二进制情况下才能生效,RSA高位攻击(已知p的高位,求解p的低位依次分解n),sagemath的small_roots()函数讲解
python 代码实现了一个高级的 Coppersmith 攻击,用于对特定类型的 RSA 加密系统进行攻击,尝试恢复被加密的明文
max500600的博客
01-09 908
这段代码实现了一个高级的 Coppersmith 攻击,用于尝试破解特定类型的 RSA 加密系统,通过构造多项式格基、格基约简和小根提取等步骤,试图恢复被加密的明文。main函数演示了对不同密钥位长的 RSA 系统进行攻击的过程。
再不学点现代密码,CTF就Hold不住啦!
蚁景网安学院
01-04 1578
点击蓝字关注我们0x00 前记 在许多CTF中,crypto中DES,AES,RSA三种现代密码频繁出现,今天在此做一下分享,给大家带来几个有趣的题目分析。0x01 现代密码之DES...
RSA小公钥指数(e=3)的安全性分析
SecCloud的专栏
11-15 1万+
1. 引言 学术界普遍认为绝对不能选用e=3作为RSA公钥指数,就好像说我们再也不能用md5一样。但实际上,md5今天仍然广泛使用。一个密码算法在理论上被攻破,并不等于实践中就一定会有安全风险。比如,md5作为一种密码哈希函数,理论上它必须满足三个性质:(1) 输出的均匀分布性;(2) 抗碰撞攻击(3) 抗原像攻击。当王小云发现了md5不满足性质(2)之后,理论上md5算法就被攻破——md
Crypto 4
m0_73725283的博客
11-27 1776
经过提点,将n进行开根号得到一个数,这个数会与p相差不大,于是先判断是否为素数,如果不是就取下一个素数(next_prime),再用n // p求q即可(需要注意的是这里不能用q = next_prime§求解,因为q有可能是p的前一个素数),然后按照常规解法即可。观察代码可知n由p,q,r三个数得出,对应的欧拉函数也有改变,其余不变,则解密的n与phi也随之改变,即可求出答案。根据n = (p**3) * q求其对应的欧拉函数*(小于等于n的正整数中与n 不互质的数的数目)*即可求出答案。
简单RSA算法
WangLal的博客
02-28 2557
RSA 最近在涅普科技的网课下学习了RSA。来总结一下。 在去了解RSA的前提下,我们需要一些数论基础。 mod是取余函数,a mod b表示a 对 b取余 同余:若 a,b为两个整数且它们的差能被某个自然数 n 所 整除则称 a 就模 n 来说同余于 b,或者说 a 和 b关于模 n 同余,也可以说a和b对n的余数是相同的。 可以记为a ≡ b(mod n) 模逆元: 模逆元也称为模倒数。 一整数A对同余 N之模逆元是指满足以下公式的整数 A^-1≡ B(mod n) 也可以为A*B ≡ 1 mod n
【CTF WriteUp】2020祥云杯Crypto题解
cccchhhh6819的博客
11-29 3631
【线下混战结束,终于有时间整理WP了】 Crypto Exposure 本题为已知dp部分高位的情况,使用通过化简构造f(x)Coppersmith解决 from sage.all import * n = 140376049134934822153964243403031201922239588054133319056483413311963385321279682186354948441840374124640187894619689719746347334298621083485494086361
libsodium crypto_secretstream在JavaScript中的应用
同样重要的是,要确保所使用的JavaScript环境是安全的,比如在Web应用中,要确保所有的通信都是通过安全的HTTPS协议进行,以防止中间人攻击。 总结来说,libsodium crypto_secretstream的抽象编码API在JavaScript中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值