from random import getrandbits, seed
from Crypto.Util.number import getPrime, inverse, bytes_to_long, isPrime
from os import urandom
from secret import flag
def sample(rho, eta, gamma, p):
seed(urandom(8))
return p * getrandbits(gamma - eta) + getrandbits(rho)
def gen_vector(rho, eta, gamma, m, p, K):
v = vector([sample(rho, eta, gamma, p) for i in range(m)])
return K*v
rho = 6
m = 3
eta = 288
gamma = 512
p = getPrime(gamma)
q = getPrime(gamma)
n = p * q
e = 65537
phi = (p - 1) * (q - 1)
c = pow(bytes_to_long(flag), e, n)
print(n)
print(c)
pp = p >> (gamma - eta)
assert isPrime(pp)
K = Matrix.random(Integers(pp), m, m).lift()
t1 = [gen_vector(rho, eta, gamma, m, pp, K) for i in range(1024)]
print(t1)
for i in range(4):
t2 = [gen_vector(rho, eta, gamma, m, pp, K) for i in range(512)]
print(t2)
K ∗ v = ( k 0 k 1 k 2 k 3 k 4 k 5 k 6 k 7 k 8 ) ∗ ( s 0 s 1 s 2 ) = ( s 0 ∗ k 0 + s 1 ∗ k 1 + s 2 ∗ k 2 s 0 ∗ k 3 + s 1 ∗ k 4 + s 2 ∗ k 5 s 0 ∗ k 6 + s 1 ∗ k 7 + s 2 ∗ k 8 ) \begin{array}{ll}K*v\\= \begin{pmatrix} k_0 & k_1 & k_2\\ k_3 & k_4 & k_5\\ k_6 & k_7 & k_8\\ \end{pmatrix}* \begin{pmatrix} s_0 & s_1 & s_2 \end{pmatrix}\\= \begin{pmatrix} s_0*k_0+s_1*k_1+s_2*k_2 & s_0*k_3+s_1*k_4+s_2*k_5 & s_0*k_6+s_1*k_7+s_2*k_8 \end{pmatrix}\end{array} K∗v=⎝ ⎛k0k3k6k1k4k7k2k5k8⎠ ⎞∗(s0s1s2)=(s0∗k0+s1∗k1+s2∗k2s0∗k3+s1∗k4+s2∗k5s0∗k6+s1∗k7+s2∗k8)
这是一个gen_vector
的输出
其中 s 0 , s 1 , s 2 s_0,s_1,s_2 s0,s1,s2是
def sample(p:'288 bit'):
seed(urandom(8))
return p * getrandbits(224) + getrandbits(6)
sample
函数的输出,每一个都不一样
记 r 224 r_{224} r224 为244 bit的随机数, r 6 r_6 r6 同理
以 K ∗ v K*v K∗v 的第一个值为例,将 p p p 提出,为
( r 224 ∗ k 0 + r 224 ∗ k 1 + r 224 ∗ k 2 ) ∗ p + ( r 6 ∗ k 0 + r 6 ∗ k 1 + r 6 ∗ k 2 ) (r_{224}*k_0+r_{224}*k_1+r_{224}*k_2)*p+(r_6*k_0+r_6*k_1+r_6*k_2) (r224∗k0+r224∗k1+r224∗k2)∗p+(r6∗k0+r6∗k1+r6∗k2)
注意到其中的rho=6
,范围较小,即上式第二项一共只有 2 18 2^{18} 218 种情况
而一共给了 4096 4096 4096 个输出,代一下生日悖论的公式 P = 1 − e − n ∗ ( n − 1 ) 2 N P=1-e^{-\frac{n*(n-1)}{2N}} P=1−e−2Nn∗(n−1),必然会有 18 b i t 18bit 18bit 的 3 个 r 6 r_6 r6 都相同的情况。
但这还不够
通过上式的第一部分以及题目的标题,不难看出要找到碰撞的情况,消去 r 6 r_6 r6 后,使用 gcd 求出 pp 的值,但是只有这 18bit 的碰撞还不够,因为两个碰撞了相减后只有一个数,要再找一组碰撞,减出一个数后跟这个数 gcd才行
懒得算概率了,跑一跑就知道有没有结果了
将output.txt
的内容提取出后,d 中有 4096 组长度为3的元组,代表所有gen_vector
的输出
psb = set()
for i in trange(len(d)):
for j in range(i+1,len(d)):
a = [d[i][k]-d[j][k] for k in range(3)]
gg = lambda m,n:gcd(a[m],a[n])
g = [gg(0,1),gg(0,2),gg(2,1)]
for k in g:
if k.bit_length() == 288:
psb.add(k)
遍历每两个输出,分别计算第一项,第二项和第三项的差值,并两两计算 gcd,如果 gcd 的结果为 288bit 长度,则认为这是一个候选p,添加到 psb = set()
中
遍历完成后,结果是正好找到了1个候选pp
pp和p的关系是pp = p >> (gamma - eta)
,这里是直接套Factoring with high bits known攻击
即可
这里贴上ctf wiki的链接 https://ctf-wiki.org/crypto/asymmetric/rsa/rsa_coppersmith_attack/#factoring-with-high-bits-known
或者直接搜也能搜到很多帖子
用sage的small_roots
函数得到p的低位,和pp相加得到完整 p,通过RSA解密直接得到flag
from Crypto.Util.number import *
from math import gcd
from tqdm import *
o = [eval(i) for i in open('D:\\Desktop\\pace\\output6.txt').read().strip().split('\n')]
n = o[0]
c = o[1]
e = 0x10001
d = []
for i in o[2:]:
for j in i:
d.append(j)
PR.<x> = PolynomialRing(Zmod(n))
psb = set()
for i in trange(len(d)):
for j in range(i+1,len(d)):
a = [d[i][k]-d[j][k] for k in range(3)]
gg = lambda m,n:gcd(a[m],a[n])
g = [gg(0,1),gg(0,2),gg(2,1)]
for k in range(len(g)):
if g[k].bit_length() == 288:
psb.add(g[k])
psb = list(psb)
for pp in psb:
f = x + (pp<<224)
r = f.small_roots(X=2^224,beta=0.4)
try:
p = int(r[0] + (pp<<224))
q = n // p
assert(p*q == n)
phin = p*q-p-q+1
d = inverse(e,phin)
print(bytes.fromhex(hex(pow(c,d,n))[2:]))
except:
pass
# b'flag{...}'