from gmpy2 import * import libnum n = 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 e1 = 17 e2 = 65537 s = gcdext(e1, e2) s1 = s[1] s2 = -s[2] c1 = libnum.s2n(open("./veryhardRSA/flag.enc1", 'rb').read()) c2 = libnum.s2n(open("./veryhardRSA/flag.enc2", 'rb').read()) c2 = invert(c2, n) m = (pow(c1,s1,n) * pow(c2 , s2 , n)) % n print libnum.n2s(m)
原理
引子
假設有一家公司COMPANY,在員工通訊系統中用RSA加密消息。COMPANY首先生成了兩個大質數P,Q,取得PQ乘積N。而且以N爲模數,生成多對不一樣的公鑰及其相應的私鑰。COMPANY將全部公鑰公開。而不一樣的員工得到本身的私鑰,好比,員工A得到了私鑰d1.員工B得到了私鑰d2.算法
如今,COMPANY將一條相同的消息,同時通過全部公鑰加密,發送給全部員工。
此時,就可能出現共模攻擊。
共模攻擊
也稱同模攻擊,英文原名是 Common Modulus Attack 。
同模攻擊利用的大前提就是,RSA體系在生成密鑰的過程當中使用了相同的模數n。
咱們依然以上面的案例展開。
假設COMPANY用全部公鑰加密了同一條信息M,也就是加密
c1 = m^e1%n c2 = m^e2%n
此時員工A擁有密鑰d1他能夠經過spa
m = c1^d1%n
解密獲得消息m
同時員工B擁有密鑰d2
他能夠經過3d
m = c2^d2%n
解密獲得消息m
若是,此時有一個攻擊者,同時監聽了A和B接收到的密文c1,c2,由於模數不變,以及全部公鑰都是公開的,那麼利用同模攻擊,他就能夠在不知道d1,d2的狀況下解密獲得消息m。code
又到了高數時間~
這裏就是要論證,當n不變的狀況下,知道n,e1,e2,c1,c2 能夠在不知道d1,d2的狀況下,解出m。
首先假設,e1,e2互質
即blog
gcd(e1,e2)=1
此時則有utf-8
e1*s1+e2*s2 = 1 式中,s一、s2皆爲整數,可是一正一負。
經過擴展歐幾里德算法,咱們能夠獲得該式子的一組解(s1,s2),假設s1爲正數,s2爲負數.
由於input
c1 = m^e1%n c2 = m^e2%n
因此
(c1^s1*c2^s2)%n = ((m^e1%n)^s1*(m^e2%n)^s2)%n
根據模運算性質,能夠化簡爲
(c1^s1*c2^s2)%n = ((m^e1)^s1*(m^e2)^s2)%n
即
(c1^s1*c2^s2)%n = (m^(e1^s1+e2^s2))%n
又前面提到io
e1*s1+e2*s2 = 1
因此class
(c1^s1*c2^s2)%n = (m^(1))%n (c1^s1*c2^s2)%n = m^%n
即
c1^s1*c2^s2 = m
也就是證實了命題:當n不變的狀況下,知道n,e1,e2,c1,c2 能夠在不知道d1,d2狀況下,解出m。
這裏還有一個小問題,順帶說明下。
咱們知道解出來s2是爲負數。
而在數論模運算中,要求一個數的負數次冪,與常規方法並不同。
好比此處要求c2的s2次冪,就要先計算c2的模反元素c2r,而後求c2r的-s2次冪。
案例
n = 1022117 p = 1013 q = 1009 #936 fn = (p-1)*(q-1) e = 17 d = 180017 m = int("h1".encode("hex"),16) c1 = m**e%n e1 = 5 d1 = 816077 c2 = m**e1%n print n print e print e1 print c1 print c2
假設模數n固定爲1022117,而且產生了(e,d),(e1,d1)兩個密鑰對。
而且打印出m加密後的密文c1,c2.
求經過e,e1,c1,c2解出m來。
如下是一個可供利用的腳本
#coding=utf-8 def egcd(a, b): if a == 0: return (b, 0, 1) else: g, y, x = egcd(b % a, a) return (g, x - (b // a) * y, y) def modinv(a, m): g, x, y = egcd(a, m) if g != 1: raise Exception('modular inverse does not exist') else: return x % m def main(): n = int(raw_input("input n:")) c1 = int(raw_input("input c1:")) c2 = int(raw_input("input c2:")) e1 = int(raw_input("input e1:")) e2 = int(raw_input("input e2:")) s = egcd(e1, e2) s1 = s[1] s2 = s[2] # 求模反元素 if s1<0: s1 = - s1 c1 = modinv(c1, n) elif s2<0: s2 = - s2 c2 = modinv(c2, n) m = (c1**s1)*(c2**s2)%n print m if __name__ == '__main__': main()
連接:https://www.jianshu.com/p/9b44512d898f