CTF入门RSA维纳攻击

最新推荐文章于 2025-03-09 11:30:47 发布
原创 最新推荐文章于 2025-03-09 11:30:47 发布 · 1.8k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #安全

RSA维纳攻击

一.题目描述

适用于e过大或国过小情况下的RSA加密

题干如下:

#coding:utf-8
import gmpy2
import libnum
e = 548564175098067125961375319851171259385596271876637657761522885808657855394647972481844447376596437557651275057610120865395646169671221375251081541213042646978655686531005856899936162320404991331623237305862913250487293880446994470841390688087392282045130633013139311548859962245908782253213294049851175315059
n = 639662333905190724963174274393118134850652056724765488685973275138948202602626008285649108873241886836533441901790252560580886492518792249844707754890068885294414947775869189660933854702732140888525369256213185908742658834741758334492843871934294115437721034834635565406377520933839418094457376057043593848401

m="flag{you_need_to_solve}"
m=libnum.s2n(m)
c1=pow(m,e,n)
print(c1)

c1 = 266367266471585923035346980467315672043839080179258966276144775106482166900911004389808367589961536843898187180012055918063504477273067284037318171833017082239907978935274619109926579983150571298634653886980563681026116724117473808890951091279814434050754571460308728024448607359710055618866766919226511213734

根据以上信息解出明文

二.解题方法

1.解题原理

Wiener 表示如果满足:

d<1/3n1/4

那么一种基于连分数的特殊攻击类型就可以危害 RSA 的安全。此时需要满足:

q<p<2q

如果满足上述条件,通过 Wiener Attack 可以在多项式时间中分解 n,思路如下:

N = pq

φ(n)=(p−1)(q−1)=pq−(p+q)+1=N−(p+q)+1

∵p, q 非常大 ,
∴pq≫p+q,
∴φ(n)≈N

∵ed≡1modφ(n),
∴ed−1=kφ(n),
这个式子两边同除 dφ(n)

可得:

eφ(n)−kd=1dφ(n)

∵φ(n)≈N,
∴eN−kd=1dφ(n),同样 dφ(n) 是一个很大的数,所以 eN 略大于 kd, e 和 N 是我们是知道的,公钥中给我们的,所以我们计算出 eN后,比它略小的 kd 用计算 eN 的连分数展开,依次算出这个分数每一个渐进分数,由于 eN 略大于 kd,wiener 证明了,该攻击能精确的覆盖 kd。

2.解题步骤

利用python脚本,输入n。e。c变量的值即可解出明文

脚本如下:

i

mport gmpy2
import libnum

def continuedFra(x, y):
    """计算连分数
    :param x: 分子
    :param y: 分母
    :return: 连分数列表
    """
    cf = []
    while y:
        cf.append(x // y)
        x, y = y, x % y
    return cf
def gradualFra(cf):
    """计算传入列表最后的渐进分数
    :param cf: 连分数列表
    :return: 该列表最后的渐近分数
    """
    numerator = 0
    denominator = 1
    for x in cf[::-1]:
        # 这里的渐进分数分子分母要分开
        numerator, denominator = denominator, x * denominator + numerator
    return numerator, denominator
def solve_pq(a, b, c):
    """使用韦达定理解出pq,x^2−(p+q)∗x+pq=0
    :param a:x^2的系数
    :param b:x的系数
    :param c:pq
    :return:p,q
    """
    par = gmpy2.isqrt(b * b - 4 * a * c)
    return (-b + par) // (2 * a), (-b - par) // (2 * a)
def getGradualFra(cf):
    """计算列表所有的渐近分数
    :param cf: 连分数列表
    :return: 该列表所有的渐近分数
    """
    gf = []
    for i in range(1, len(cf) + 1):
        gf.append(gradualFra(cf[:i]))
    return gf


def wienerAttack(e, n):
    """
    :param e:
    :param n:
    :return: 私钥d
    """
    cf = continuedFra(e, n)
    gf = getGradualFra(cf)
    for d, k in gf:
        if k == 0: continue
        if (e * d - 1) % k != 0:
            continue
        phi = (e * d - 1) // k
        p, q = solve_pq(1, n - phi + 1, n)
        if p * q == n:
            return d

n = 639662333905190724963174274393118134850652056724765488685973275138948202602626008285649108873241886836533441901790252560580886492518792249844707754890068885294414947775869189660933854702732140888525369256213185908742658834741758334492843871934294115437721034834635565406377520933839418094457376057043593848401
e = 548564175098067125961375319851171259385596271876637657761522885808657855394647972481844447376596437557651275057610120865395646169671221375251081541213042646978655686531005856899936162320404991331623237305862913250487293880446994470841390688087392282045130633013139311548859962245908782253213294049851175315059
c = 266367266471585923035346980467315672043839080179258966276144775106482166900911004389808367589961536843898187180012055918063504477273067284037318171833017082239907978935274619109926579983150571298634653886980563681026116724117473808890951091279814434050754571460308728024448607359710055618866766919226511213734
d=wienerAttack(e, n)
m=pow(c, d, n)
print(libnum.n2s(m).decode())

运行结果如图:
在这里插入图片描述

输入flag即可

RSA低解密指数攻击维纳攻击wiener attack)
2401_83593160的博客
01-08 1435
(原因:可以使用算法快速的从e中推断出d)模数:N=pq (q
CTF-RSA_维纳攻击脚本
fengerxi33的博客
02-18 1941
CTF-RSA_维纳攻击脚本 低解密指数攻击 维纳攻击:e指数很大(理论上d<N**0.25此攻击起作用) 本节的脚本主要参考 https://github.com/pablocelayes/rsa-wiener-attack 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" for i i
buuctf——RSA2 维纳攻击
m0_46607055的博客
10-22 2433
题目信息 N = 1019918097775532534702767513992647401311576823292526735017921545070061584344320091419953672419625257059500462534001888846582624965347064387915150718858608975527366568995669157312972258172506398736433763101039921706469065572428328939149020535...
CTF-RSA攻击类型大全
最新发布
2303_79532367的博客
03-09 1775
RSA
维纳攻击
weixin_44328931的博客
04-26 267
从题目上看就知道要利用维纳攻击了,下载了附件之后是一个py文件,打开后就是这样的 不难看出代码的最后有三行代码是对程序无影响的,后面就从github上找维纳攻击的代码把这三行代入就可以运行了 这题啥也不会,全瞎bb,求大佬教 ...
CTF密码学之RSA攻击算法
蚁景网安学院
11-24 6447
我们开始学习 RSA 的各种攻击算法及其数学原理。希望大家在学习的过程中更多的去关注攻击算法实现的原理,而不仅仅只在于 copy 攻击代码。
轩禹CTF_RSA工具3.6.1.zip
01-29
CTF常用工具集
CTF-RSA-tool-master.zip
01-19
针对CTF中CRYPTO的RSA工具
ctf python大法好_CTFRSA攻击方法总结
weixin_39978282的博客
12-21 1696
RSA近期因为一些比赛以及其他原因,总结了一些RSA方面的东西,于是在这里与大家分享,希望大家能有所收获,如有不当之处敬请批评指正。0x01 前言这里就不讨论数论的基础了,进行RSA的题目解答,至少要懂得基本的数论知识的,如果不了解数论的基本知识的话,网上相关内容还是挺多的。RSA基于一个简单的数论事实,两个大素数相乘十分容易,将其进行因式分解确实困难的。在量子计算机还没有成熟的今天,RSA算法凭...
RSA维纳攻击
m0_73386154的博客
03-06 570
维纳攻击解题脚本
rsa-wiener-attack:Wiener 针对小密钥的 RSA 攻击
05-31
rsa-wiener-attack Wiener 针对小密钥的 RSA 攻击
ctf Wiener tricky
dibanfu3470的博客
03-27 274
这题题目是wienerTricky,这是维纳滤波?? 没学过,,懵x 给了publickey,于是想先找出n,e 然后求出d 然后,真是为难我的小电脑了,yafu拆解,一开始几分钟,然后,20分钟,然后2个半小时, 这些我都让他跑完了!! 然后给我显示20小时。。。 断了yafu 老老实实看那个代码 https://github.com/pablocelay...
RSAwiener攻击详解(RSA 维纳攻击)
weixin_51086098的博客
03-27 6772
RSAwiener攻击 题型:维纳攻击 环境:python3.9 攻击原理:RSA维纳攻击原理可参考该网址 解题过程: github上找到有关wiener 攻击的解题脚本,链接 下载过程:打开链接后,点击箭头所指CODE,下载完成后将所有文件放在同一个文件夹内。接下来便需要编写py脚本来获取flag。 利用python编写如下代码: from Crypto.Util.number import * from gmpy2 import * from RSAwienerHacker
RSA之初学维纳攻击
rreally的博客
12-13 7123
Wiener’s Attack 适用情况:e过大或过小。 在e过大或过小的情况下,可使用算法从e中快速推断出d的值。 Wiener 表示如果满足: d<1/3n1/4 那么一种基于连分数的特殊攻击类型就可以危害 RSA安全。此时需要满足: q<p<2q 如果满足上述条件,通过 Wiener Attack 可以在多项式时间中分解 n,思路如下: N = pq φ(n)=(p−1)(q−1)=pq−(p+q)+1=N−(p+q)+1 ∵p, q 非常大 , ∴pq≫p+q, ∴φ(n)≈N
维纳攻击及变形题
huangdingyu6的博客
11-23 715
攻击条件:e过大或过小在e过大或过小的情况下,可使用算法从e中快速推断出d的值模数N=pq ,其中q < p < 2p,若d<时,给定公钥(N,e),且其中G=那么就可以有效的得到私钥d这里与常见得RSA加密不同得是使用了,并不是我们所熟知的。这两个玩意相差了整数G,其实是差不多的。
CTFRsa常见攻击思路
重启专家的博客
10-28 2680
CTF中密码学题型的RSA常见攻击思路
RSA攻击之wiener攻击
oumeixi_wjp的专栏
03-30 8624
1、理论基础     1.1连分数概念 详细信息请参阅维基百科(http://zh.wikipedia.org/wiki/连分数) 在数学中,连分数或繁分数即如下表达式:         这里的a0是某个整数,而所有其他的数an都是正整数,可依样定义出更长的表达式。 下面通过实际的例子来学习如何将一个实数转换为连分数 eg:找出3.245的连分
密码学硬核笔记——扩展维纳攻击
Gm1y's Blog
11-17 6770
前言 这题遇到了Extending Wiener’s attack,因此写一篇博客来学习学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值