GoogleCTF18-DM Collision

类型：Crypto
题目地址：https://github.com/google/google-ctf/tree/master/2018/quals/crypto-dm-col
参考连接：https://github.com/nguyenduyhieukma/CTF-Writeups/tree/master/Google%20CTF%20Quals/2018/Crypto-DM-COLLISION
考察知识点：DES
题目描述：

Can you find a collision in this compression function?

通过代码阅读，可以获得一些信息：

• 题目使用了一种近似DES加密的算法，调换了8个S-box的顺序，其他都没变
• 题目需要我们求：
  • 求两组不同的输入(key,inputblock) 使input
    block^ outputblock相同，即找到一个冲突
  • 求一组(key,inputblock)使 inputblock==outputblock，即一个不动点

为了求解这两个问题，我们需要先对DES加密做一些介绍。

1. DES(Data Encryption Standard)是一种块加密算法，输入为64位长的明文和64位长的密钥，输出长为64位的密文。
2. 首先会将 输入的64位明文进行置换并切成两个长为32位的块 a[0] a[1]。
3. 然后递推计算 a[i+2] = a[i] XOR f(a[i+1], k[i]) for i = 0,1,...,15 f位一个加密函数
4. f每次接受一个32位长的待加密块和48位长的subkey，来生成一个32位长的新块
5. f内部会使用s-box 来进行混淆
6. 最后会对(a[17],a[16])进行逆置换来得到最终的输出结果
7. 尽管DES会接受一个64位长的密钥做输入，但其实只有其中的56位会被真正用于加密过程，另外8位是用于奇偶校验的，并不影响加密的结果。64位长的密钥将用于生成16个48位长的subkey参与f运算。

DES

有了以上知识，对于要求一，找到一个冲突，我们可以利用7，密钥中有一个byte不会对outputblock产生影响，很容易构造一对满足要求的(key, inputblock)。
对于要求二，找到一个不动点，还需要介绍另外一个知识点。

• 对于DES来说，有一类很特殊的key，会使得Key scheduler生成16个相同的subkey
• 具有这种性质的key被称为 weak key
• 对于DES，所有bit位都为0 的key和 所有bit位都为1的key都是weak key

那么使用weak key会有什么危害呢？
对于DES，当所有的subkey相同时，如果我们要使(a[0], a[1]) == (a[17], a[16])，可以推出一个充要条件是 a[8] == a[9] 。推导过程如图。

(a[0], a[1]) == (a[17], a[16]) is equivalent to a[8] == a[9]

对于这道题，改变s-box的顺序只会影响f函数内部，这个结论依旧成立。
因此我们可以让a[8] == a[9] 位任意值，然后复用代码反推 a[0]和a[1]
具体过程：

检查是否所有subkey都相同

WEAK_KEY = b'\xff' * 8 # the all ones weak key
L = list(KeyScheduler(Str2Bits(WEAK_KEY)))
S = set(map(tuple, L)) # this will contain only unique element(s).
len(S) == 1

任取一些值给 a[8] a[9]

a = [None] * 18
a[8] = a[9] = Str2Bits(b'c001') # I just want to be c001

倒推所有的a[i]

subkey = S.pop() # get the unique subkey
def f(block): return CipherFunction(subkey, block)

for i in range(10,18):
    a[i] = Xor(a[i-2], f(a[i-1]))

for i in range(7,-1,-1):
    a[i] = Xor(a[i+2], f(a[i+1]))

(a[0], a[1]) == (a[17], a[16])

根据a[i] 构造最终的inputblock

key3 = WEAK_KEY
def InvIP(block): return [block[IP_INV[i] - 1] for i in range(64)]
block3 = Bits2Str(InvIP(a[0] + a[1]))
DESEncrypt(block3, key3) == block3

即构造出了符合要求二的一组(key,inputblock)