• 所有问题

    • CTF常见RSA相关问题的解决(复现)

    如题所述

    举报该问题
    其他回答
    第1个回答  2022-06-29

    本文参考 https://findneo.github.io/180727rsa-attack/ 为对其知识进行掌握,写此文章来梳理和加深记忆
    前言:理解基本概念,本文将每种攻击方式实现方法提炼成了一个函数,便于理解原理也可以直接调用。
    基础:
    RSA概要:
    在开始前可以通过 《RSA算法详解》 这篇文章了解关于RSA的基础知识,包括加解密方法,算法原理和可行性证明等。(特详细)
    应用流程:
    1.选取两个较大的互不相等的质数p和q 计算n =p q。
    2.计算phi =(p-1) (q-1)。
    3.选取任意的e,使得e满足1<e<phi 且 gcd(e,phi) ==1 .
    4.计算e关于phi的模逆元d,即d满足(e*d)%phi ==1.
    5.加解密:c=(m^e)%n ,m =(c^d)%n.其中m为明文,c为密文 (n,e)为公钥,d为私钥,要求0<=m<n.

    求模逆可直接利用gmpy2库。如 import gmpy2 print gmpy2.invert(47,30) 可求得47模30的逆为23。
    扩展欧几里得算法基于欧几里得算法,能够求出使得 ax+by=gcd(a,b) 的一组x,y。
    常见攻击方式实践
    准备工具
    python gmpy2库 libnum库
    yafu
    RSATool2v17.exe
    RSA解密
    若已知私钥d,则可以直接解密:m=pow(c,d,n).
    若已知质数p和q,则通过依次计算欧拉函数值phi、私钥d可解密。简易实现如下:

    在选取加密指数e时要求phi,e互质,也就是gcd(phi,e)==1 ,如果不满足是无法直接解密的。
    SCTF2018的Crypto - a number problem,题目是: x**33=1926041757553905692219721422025224638913707 mod 3436415358139016629092568198745009225773259 tell me the smallest answer of x
    其中n=3436415358139016629092568198745009225773259 可以直接分解得到p,q,出phi=(p-1)*(q-1) ,然后惊奇地发现gcd(phi,33)==3 。这时如果对加密过程比较熟悉的话,就可以想到实际上公钥e=11 ,明文是m=x^3 ,应该先求出m。然后再爆破x。

    n2,n3已知,利用共模攻击得到n1,由gcd(n1,n2)==p1 分解n1,n2,就可解密得到两部分msg,拼接即可。

    小明文攻击
    适用情况:e较小,一般为3。

    公钥e很小,明文m也不大的话,于是 m^e=k*n+m 中的的k值很小甚至为0,爆破k或直接开三次方即可。Python实现:

    例子:Extremely hard RSA
    题目提供的n是4096位的,e=3。

    Rabin加密中的N可被分解
    适用情况:e==2
    Rabin加密是RSA的衍生算法,e==2是Rabin加密典型特征,可以百度或阅读 https://en.wikipedia.org/wiki/Rabin_cryptosystem 以了解到详细的说明,这里只关注解密方法。一般先通过其他方法分解得到p,q,然后解密。
    Python实现:

    函数返回四个数,这其中只有一个是我们想要的明文,需要通过其他方式验证,当然CTF中显然就是flag字眼了。

    Wiener’s Attack
    适用情况:e过大或过小。
    工具: https://github.com/pablocelayes/rsa-wiener-attack

    在e过大或过小的情况下,可使用算法从e中快速推断出d的值。详细的算法原理可以阅读: 低解密指数攻击 。

    例子:2018强网杯nextrsa-Level2

    **私钥文件修复

    适用情况:提供破损的私钥文件。 **

    参考 https://www.40huo.cn/blog/rsa-private-key-recovery-and-oaep.html 修复存储私钥的文件,得到p和q。
    **私钥修复

    Python 脚本:**

    从缺失的私钥中,我们可以分析出各部分数据代表的数字。

    改动原脚本中的各部分内容即可恢复出私钥,大致算法为:

    **LSB Oracle Attack

    适用情况:可以选择密文并泄露最低位。 **
    在一次RSA加密中,明文为m,模数为n,加密指数为e,密文为c。我们可以构造出 c'=((2^e)*c)%n=((2^e)*(m^e))%n=((2*m)^e)%n , 因为m的两倍可能大于n,所以经过解密得到的明文是 m'=(2*m)%n 。我们还能够知道 m' 的最低位 lsb 是1还是0。 因为n是奇数,而 2*m 是偶数,所以如果 lsb 是0,说明 (2*m)%n 是偶数,没有超过n,即 m<n/2.0 ,反之则 m>n/2.0 。举个例子就能明白 2%3=2 是偶数,而 4%3=1 是奇数。以此类推,构造密文 c"=(4^e)*c)%n 使其解密后为 m"=(4*m)%n ,判断 m" 的奇偶性可以知道 m 和 n/4 的大小关系。所以我们就有了一个二分算法,可以在对数时间内将m的范围逼近到一个足够狭窄的空间。

    更多信息可参考: RSA Least-Significant-Bit Oracle Attack 和 RSA least significant bit oracle attack 。

    Python实现:

    相似回答
    c语言getprime是什么意思答:RSA是一种算法,并且广泛应用于现代,用于保密通信。RSA算法涉及三个参数,n,e,d,其中分为私钥和公钥,私钥是n,d,公钥是n,e n是两个素数的乘积,一般这两个素数在RSA中用字母p,q表示 e是一个素数 d是e模 varphi(n) 的逆元,CTF的角度看就是,d是由e,p,q可以求解出的 一般CTF就是把我...
    CTF记录之简单RSA答:已知RSA公钥生成参数:p = 3487583947589437589237958723892346254777 q = 8767867843568934765983476584376578389 e = 65537 求d = 请提交PCTF{d} 说实话对这个RSA密钥认证的完全不懂。。学习一下 这个涉及到RSA计算公式了。。去网上学习一下 RSA学习地址 import gmpy2 p = 348758394758943758923795872389234625...
    求大神详细点的帮我讲讲ctf 中pwn re web rsa分别是什么答:re是逆向(reverse缩写),入门比较难,你可以先去网上找点ppt或者去CTF平台边看write up 边看题学习下;这个东西入门比较难,之后要好点,需要学习汇编语言。web这个东西也比较多,但入门好入。rsa一个是密码学的知识吧,和这些比赛题目不一样吧,因为以上的东西在比赛的时候会写出来是哪些种类的。给...
    夺旗赛 CTF 六大方向基础工具简介集合答:Crypto方向: 密码学世界里的瑞士军刀,如CTFCrackTools、CyberChef等,让你在密码破解和加密解密中游刃有余。RSA/单项加解密工具RSATool和yafu,为高级加密挑战提供解决方案。文本处理工具TextForever V1.78,OCR技术得力助手;小葵多功能转换工具,编码与解密的全能选手;MD5破解器md5crack3和超级字典生成器...
    学习网络安全需要哪些基础知识?答:一些典型的网络安全问题,可以来梳理一下:IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击);2. DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量;3. DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标...
    大家正在搜
    常见的网络问题及解决办法常见网络问题怎么解决常见家庭问题怎么解决出现的问题及解决方法公司常见需要解决问题解决问题的三个方法解决疑难问题的方法最常见的复种方式有常见的复乐段由