RSA--低加密指数广播攻击例子

最新推荐文章于 2025-06-26 00:20:59 发布
最新推荐文章于 2025-06-26 00:20:59 发布
阅读量1.1w 收藏 8
点赞数 1
CC 4.0 BY-SA版权
分类专栏: ctf python 文章标签: RSA 低加密指数广播攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuqi7/article/details/75578414
本文介绍了一种针对RSA加密系统的低加密指数广播攻击方法,并通过Python2和Python3提供了具体实现案例。当使用相同较小的加密指数给多个接收者发送相同消息时,这种攻击变得可行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

RSA—低加密指数广播攻击例子

如果选取的加密指数较小,并且使用了相同的加密指数给一群接收者发送相同的信息,那么可以进行广播攻击得到明文

python2的一个例子

# coding:utf8
# python2

'''
安装依赖:
sudo apt install libgmp-dev
pip install gmpy
'''

from struct import pack,unpack
import zlib
import gmpy

def my_parse_number(number):
    string = "%x" % number
    erg = []
    while string != '':
        erg = erg + [chr(int(string[:2], 16))]
        string = string[2:]
    return ''.join(erg)

def extended_gcd(a, b):
    x,y = 0, 1
    lastx, lasty = 1, 0
    while b:
        a, (q, b) = b, divmod(a,b)
        x, lastx = lastx-q*x, x
        y, lasty = lasty-q*y, y
    return (lastx, lasty, a)

def chinese_remainder_theorem(items):
    N = 1
    for a, n in items:
        N *= n
    result = 0
    for a, n in items:
        m = N/n
        r, s, d = extended_gcd(n, m)
        if d != 1:
            N=N/n
            continue
            #raise "Input not pairwise co-prime"
        result += a*s*m
    return result % N, N

sessions=[{"c": 7366067574741171461722065133242916080495505913663250330082747465383676893970411476550748394841437418105312353971095003424322679616940371123028982189502042, "e": 10, "n": 25162507052339714421839688873734596177751124036723831003300959761137811490715205742941738406548150240861779301784133652165908227917415483137585388986274803},
{"c": 21962825323300469151795920289886886562790942771546858500842179806566435767103803978885148772139305484319688249368999503784441507383476095946258011317951461, "e": 10, "n": 23976859589904419798320812097681858652325473791891232710431997202897819580634937070900625213218095330766877190212418023297341732808839488308551126409983193},
{"c": 6569689420274066957835983390583585286570087619048110141187700584193792695235405077811544355169290382357149374107076406086154103351897890793598997687053983, "e": 10, "n": 18503782836858540043974558035601654610948915505645219820150251062305120148745545906567548650191832090823482852604346478335353784501076761922605361848703623},
{"c": 4508246168044513518452493882713536390636741541551805821790338973797615971271867248584379813114125478195284692695928668946553625483179633266057122967547052, "e": 10, "n": 23383087478545512218713157932934746110721706819077423418060220083657713428503582801909807142802647367994289775015595100541168367083097506193809451365010723},
{"c": 22966105670291282335588843018244161552764486373117942865966904076191122337435542553276743938817686729554714315494818922753880198945897222422137268427611672, "e": 10, "n": 31775649089861428671057909076144152870796722528112580479442073365053916012507273433028451755436987054722496057749731758475958301164082755003195632005308493},
{"c": 17963313063405045742968136916219838352135561785389534381262979264585397896844470879023686508540355160998533122970239261072020689217153126649390825646712087, "e": 10, "n": 22246342022943432820696190444155665289928378653841172632283227888174495402248633061010615572642126584591103750338919213945646074833823905521643025879053949},
{"c": 1652417534709029450380570653973705320986117679597563873022683140800507482560482948310131540948227797045505390333146191586749269249548168247316404074014639, "e": 10, "n": 25395461142670631268156106136028325744393358436617528677967249347353524924655001151849544022201772500033280822372661344352607434738696051779095736547813043},
{"c": 15585771734488351039456631394040497759568679429510619219766191780807675361741859290490732451112648776648126779759368428205194684721516497026290981786239352, "e": 10, "n": 32056508892744184901289413287728039891303832311548608141088227876326753674154124775132776928481935378184756756785107540781632570295330486738268173167809047},
{"c": 8965123421637694050044216844523379163347478029124815032832813225050732558524239660648746284884140746788823681886010577342254841014594570067467905682359797, "e": 10, "n": 52849766269541827474228189428820648574162539595985395992261649809907435742263020551050064268890333392877173572811691599841253150460219986817964461970736553},
{"c": 13560945756543023008529388108446940847137853038437095244573035888531288577370829065666320069397898394848484847030321018915638381833935580958342719988978247, "e": 10, "n": 30415984800307578932946399987559088968355638354344823359397204419191241802721772499486615661699080998502439901585573950889047918537906687840725005496238621}]
 
data = []
for session in sessions:
    e=session['e']
    n=session['n']
    msg=session['c']
    data = data + [(msg, n)]
print("Please wait, performing CRT")
x, n = chinese_remainder_theorem(data)
e=session['e']
realnum = gmpy.mpz(x).root(e)[0].digits()
result = my_parse_number(int(realnum))
print(result)

# flag{wo0_th3_tr4in_i5_leav1ng_g3t_on_it}

python3的一个例子

# coding:utf8
# python3

'''
安装依赖:
sudo apt install libgmp-dev
sudo apt install libmpfr-dev
sudo apt install libmpc-dev
pip install sympy gmpy2
'''

from sympy.ntheory.modular import crt
from gmpy2 import iroot

e = 3
N = [86812553978993, 81744303091421, 83695120256591]
C = [8875674977048, 70744354709710, 29146719498409]

resultant, mod = crt(N,C)
value, is_perfect = iroot(resultant,e)
print(bytes.fromhex(str(value)).decode())

# h45t4d

参考链接:

  1. Code300脚本: http://bobao.360.cn/ctf/detail/162.html
  2. 低加密指数广播攻击: http://www.tuicool.com/articles/iYBZBfy
  3. python3例子: https://dunsp4rce.github.io/csictf-2020/crypto/2020/07/21/Quick-Math.html

2018/6/5

从零开始学RSA加密指数广播攻击
weixin_44626085的博客
04-10 4476
如果选取的加密指数,并且使用了相同的加密指数给一个接受者的群发送相同的信息,那么可以进行广播攻击得到明文。适用范围:模数n、密文c不同,明文m、加密指数e相同。一般情况下,e=k (k是题目给出的n和c的组数)。例如:下面的就是e=k=3使用不同的模数n,相同的公钥指数e加密相同的信息。就会得到多个,将 视为一个整体M,这就是典型的中国剩余定理适用情况。按照本文的中国剩余定理小节容易求得的值,当e较小时直接开e方即可,可使用gmpy2.iroot(M,e) 方法。
CTF_RSA_加密指数广播攻击脚本
fengerxi33的博客
03-08 2159
加密指数广播攻击 如果选取的加密指数,并且使用了相同的加密指数给一个接受者的群发送相同的信息,那么可以进行广播攻击得到明文。 在CTF中,n、c不同,明文m,e相同,其e比较小。使用中国剩余定理求解 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" for i in range(10):
BUUCTF RSA5浅析
qq_42391153的博客
11-19 3261
RSA5 这道题看起来很麻烦,实际上是一道比较简单的题 m = xxxxxxxx e = 65537 m=pow(c,d,n) ========== n c ========== n = 204749188940517785333052623456018809280882844711218237540497253540724771558737788480550738433458206978866...
RSA 指数攻击深度解析:e=3 时的三种破解策略
最新发布
2402_88431779的博客
06-26 591
RSA 指数攻击的破解过程揭示了 CTF 密码学题的本质 ——
攻防世界-crypto-OldDriver(RSA加密指数广播攻击) 方法总结
半岛铁盒的博客
12-02 2224
今天遇到了一个新题型感觉有点意思记录一下; 开始 有个年轻人得到了一份密文,身为老司机的你能帮他看看么? 从题目下载附件打开~ 嗯? 这一大串是啥东西?以前没做过这种题阿?果断看WP了; RSA加密指数广播攻击 首先介绍什么是广播,加入我们需要将一份明文进行多份加密,但是每份使用不同的密钥,密钥中的模数n不同但指数e相同且很小,我们只要拿到多份密文和对应的n就可以利用中国剩余定理进行解密。关于中国剩余定理请参考文章: Go! 只要满足一下情况,我们便可以考虑使用加密指数广播攻击加密指数e非常小
BUU-crypto-刷题记录11
m0_57291352的博客
06-25 209
RSA5 题目 m = xxxxxxxx e = 65537 ========== n c ========== n = 204749188940517785333052623456018809280882844711218237540497253540724771558737788480550738433458206978866410868426124865412501839659660015913420315629535617933323416413343028479961084174663606881
DLMS—Cryptographic algorithms—(Green-Book)加密算法
一个bug是bug,多个bug能work
06-28 1390
密码学是数学的一个分支,基于数据的转换,并且可以用来提供多种安全服务:保密性、数据完整性、认证、授权和不可否认性。密码学依赖于两个基本组成部分:算法(或密码学方法)和密钥。算法是一个数学函数,而密钥是在转换过程中使用的参数。密码算法和密钥用于对数据应用密码保护(例如,加密数据或生成数字签名),以及移除或检查保护(例如,解密加密的数据或验证数字签名)。密码哈希函数:这类函数不需要密钥(尽管它们可以以使用密钥的模式使用)。哈希函数通常用作算法的一个组成部分,以提供安全服务。见9.2.3.2节。对称密钥算法。
RSA加密算法研究
12-26
### RSA加密算法研究 #### 密码技术介绍 在当今高度信息化的社会中,信息安全成为了一个极为重要的议题。随着网络攻击手段的不断升级和技术的发展,如何有效地保护数据安全变得尤为重要。加密技术作为信息安全的...
记几种类型的RSA攻击
舞动的獾
09-09 4105
RSA加密算法 RSA 基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解却是困难的 然而即便 RSA 算法目前来说是安全可靠的,但是错误的应用场景,错误的环境配置,以及错误的使用方法都会导致 RSA 的算法体系出现问题,从而也派生出针对各种特定场景下的 RSA 攻击方法 RSA RSA 算法涉及三个参数,n,e,d,私钥为 d,公钥对为 n,e 其中 N=pq(p, q 均为大素数...
安卓Android源码——声波支付例子SinVoice-master.zip
10-11
可能使用的加密算法有AES、RSA等。 5. **用户界面与交互** 一个完整的声波支付应用不仅需要后台处理,还需要友好的用户界面。"SinVoice-master"的源码可能包含UI设计,如按钮、进度条和提示信息,用于引导用户进行...
Bugku crypto wp
God_of_fear的博客
10-14 1115
小白学习笔记
RSA解密指数攻击爆破脚本
07-02
RSA解密指数攻击爆破脚本,当解密的指数d过小时出现的漏洞。表现是E 非常的大。
ctfshow密码easyrsa4
qq_62849498的博客
04-18 455
题目描述 e = 3 n = 1897005372861660936645828606773128874902226495915840375835798591539338311796369382756880992577067935376562481080490438227884552649898142234631941793843486155829136673854207916516973623255868782170993734650348075628148977585943925461447242
RSA指数加密
jeffreynnn的博客
08-14 4445
0x01 题目来源https://github.com/pbiernat/BlackBox/tree/master/RSA_Cube0x02 解题思路1、查看源码在题目的源码中看到,这里RSA使用的加密指数就用到了3,也就是对于前面就进行了3次方,在验证通过的时候,就说明了以“0001ff”开头并且铭明文中有“ffff00”+”ASN.1get_flag”。那么就想到,直接构造签名将其开三次根,得到
加密指数攻击
永远相信美好的事情即将发生
03-28 2046
原理 加密指数攻击: 假设e=3, 公钥中的加密指数e很小,但是模数n很大 有RSA加密公式:c≡me(modn)c \equiv m^{e} \pmod{n}c≡me(modn) (c密文,m明文) 则: 当me<nm^{e}<nme<n时,c=mec = m^{e}c=me,所以对c开方就能得到m 当me>nm^{e}>nme>n 时,此时用爆破的方法: 假设我们me/nm^{e} / nme/n的商为 k 余数为c,则me=kn+cm^{e} = kn + cm
指数rsa 多线程版writeup
u014281987的博客
08-17 1119
下载flag.enc 和pubkey.pem文件 将pem文件拖入openssl得到n(modulus)和e(exponent)  openssl rsa -pubin -text -modulus -in pubkey.pem n=C09778534564847D8CC4B420E9335867EC783E6CF5F05CA03EEEDC2563D0EB2A9EBA8F1952A2670B
RSA攻击
Q221022的博客
03-26 2903
目录 RSA RSA的解密 RSA密钥对的生成 对RSA攻击 暴力破解求D Mallory中间人攻击 维纳攻击(Wiener’s Attack) 指数攻击 加密指数广播攻击 共模攻击 RSARSA中,明文、密钥和密文都是数字。加密过程可以用下列公式来表示 密文=明文 ^ E mod N 也就是说,RSA的密文是对代表明文的数字的E次方求mod N的结果。换句话说,就是将明文和自己做E次乘法,然后将其结果除以N求余数,这个余数就是密文。 加密公式中的E和N,
[BUUCTF]rsa2 解密指数攻击
rang的博客
11-20 4350
解密指数攻击加密指数相同,解密指数可以加快解密的过程,但是者也带来了安全问题。 在RSA中d也称为解密指数,当d比较小的时候,e也就显得特别大了。 适用情况:e过大或过小(一般e过大时使用) 首先需要需要下载工具rsa-wiener-attack(附件里面的rsa工具中有): git clone https://github.com/pablocelayes/rsa-wiener-attack (注意,这里要将破解脚本和rsa-wiener-attack的py文件放在同一个目录下) python3
UDP广播攻击(百万次)
但行好事,莫问前程
09-05 4769
飞秋攻击:基于udp原理的网络攻击.
RSA-512 非对称加密密钥
06-24
### RSA-512 非对称加密密钥生成及使用方法 RSA 是一种基于大整数分解困难性的非对称加密算法。RSA-512 指的是使用 512 位长度的密钥进行加密和解密操作。以下是关于 RSA-512 密钥生成及使用方法的详细说明。 #### 密钥生成 RSA 密钥生成过程包括以下步骤: 1. 选择两个大素数 \( p \) 和 \( q \),确保它们足够随机且保密。 2. 计算 \( n = p \times q \),其中 \( n \) 是模数,也是公钥的一部分。 3. 计算欧拉函数 \( \phi(n) = (p-1) \times (q-1) \)。 4. 选择一个与 \( \phi(n) \) 互质的整数 \( e \)(通常取值为 65537),作为公钥的指数。 5. 计算 \( d \),使得 \( d \times e \equiv 1 \mod \phi(n) \)。\( d \) 是私钥的指数。 6. 公钥由 \( (e, n) \) 组成,私钥由 \( (d, n) \) 组成。 对于 RSA-512,密钥长度为 512 位,意味着 \( n \) 的二进制表示长度为 512 位[^1]。 #### 实现工具 在实际应用中,可以使用以下工具或库生成 RSA-512 密钥: - **OpenSSL**:通过命令行工具生成 RSA 密钥。 ```bash openssl genpkey -algorithm RSA -out rsa_512.pem -pkeyopt rsa_keygen_bits:512 ``` 此命令将生成一个 512 位的 RSA 私钥并保存到文件 `rsa_512.pem` 中[^2]。 - **Python 的 cryptography 库**:可以使用 Python 编程语言生成 RSA 密钥。 ```python from cryptography.hazmat.primitives.asymmetric import rsa from cryptography.hazmat.primitives import serialization # 生成 RSA-512 密钥对 private_key = rsa.generate_private_key( public_exponent=65537, key_size=512 ) # 导出私钥 private_pem = private_key.private_bytes( encoding=serialization.Encoding.PEM, format=serialization.PrivateFormat.TraditionalOpenSSL, encryption_algorithm=serialization.NoEncryption() ) # 导出公钥 public_key = private_key.public_key() public_pem = public_key.public_bytes( encoding=serialization.Encoding.PEM, format=serialization.PublicFormat.SubjectPublicKeyInfo ) print("Private Key:\n", private_pem.decode()) print("Public Key:\n", public_pem.decode()) ``` #### 使用场景 RSA-512 密钥由于长度较短,安全性较,通常不推荐用于现代加密场景。然而,在某些资源受限的环境中(如嵌入式系统),可能会选择 RSA-512 以节省计算资源[^3]。例如,STM32 微控制器可以通过专用库实现 RSA-512 加密解密功能。 #### 安全性考虑 尽管 RSA-512 曾经被广泛使用,但随着计算能力的提升,其安全性已不再可靠。建议在实际应用中使用更长的密钥长度(如 2048 位或 4096 位)以确保更高的安全性[^1]。 ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值