BUAA^AITMCLAB&Level3题解

Level3题解

• 分析加密过程：

  • 获取的大质数因子p、q满足：$q<p<2q$
  • 设置的解密指数d满足：$d<\frac{\sqrt[4]{N}}{3}$
  • 可以想到采用低解密指数攻击破解flag

• 低解密指数攻击（wiener-Attack）：

  • $$\begin{gathered} LetN=pqwithq<p<2q.Letd<\frac{\sqrt[4]{N}}{3} \\ Givenwithed=1(modN).Wecanecientlyrecoverd. \end{gathered}$$

  • Proof:

    基于连分数理论进行近似

    $$\begin{gathered} ed\equiv 1(mod\varphi (N))\Rightarrow \exists ks.t.ed-k\varphi (N)=1 \\ 故\left|\frac{e}{\varphi (N)}-\frac{k}{d}\right|=\frac{1}{d\varphi (N)}因为d与\varphi (N)很小，所以\frac{k}{d}是\frac{e}{\varphi (N)}的近似值 \\ 由p+q-1<3q-1<3q<3\sqrt{N}以及\varphi (N)=N-(p+q)+1可得 \\ \left|N-\varphi (N)\right|<3\sqrt{N} \\ 由于N与\varphi (N)很接近，所以替代得到： \\ \left|\frac{e}{N}-\frac{k}{d}\right|=\left|\frac{ed-k\varphi (N)-kN+k\varphi (N)}{Nd}\right|=\left|\frac{1-k(N-\varphi (N))}{Nd}\right| \\ \le \left|\frac{3k\varphi (N)}{Nd}\right|=\frac{3k}{d\sqrt{N}} \\ 由k\varphi (N)=ed-1<ed且e<\varphi (N)\Rightarrow k<d<\frac{\sqrt[4]{N}}{3} \\ 故\left|\frac{e}{N}-\frac{k}{d}\right|\le \frac{1}{d\sqrt[4]{N}}<\frac{1}{2d^2} \end{gathered}$$

    • 有Legendre Theorem
      $$\begin{gathered} p\in \mathbb{Z},q\in {\mathbb{Z}}^{+},若\left|x-\frac{p}{q}\right|<\frac{1}{2q^2}, \\ 那么\frac{p}{q}是x的渐进分数收敛值 \end{gathered}$$

    • 我们可以对$\frac{e}{N}$使用连分数获得渐进分数，总有一个就是既约分数$\frac{k}{d}$(因为$(k,d)=1$)

  • 恢复私钥d后，我们可以采用韦达定理进一步分解$N=pq$（当然也可以直接通过d进行解密）

  • 代码实现：

    def cf_expansion(a, b):
        """
        连分数表示计算:[a0,a1,...,an]
        """
        cf_e = []
        while b:
            cf_e += [a // b]
            a, b = b, a % b
        return cf_e
    
    def cal_fra_nd(sub_cf_lst):
        """
        计算渐进分数的分子(num)和分母(deno)
        """
        num = 0
        deno = 1
        for sub in sub_cf_lst[::-1]:
            num, deno = deno, sub * deno + num
        return num, deno
    
    def cal_fra(x, y):
        """
        计算渐进分数值序列
        """
        cf = cf_expansion(x, y)
        cf = list(map(cal_fra_nd, (cf[0:i] for i in range(1, len(cf)))))
        return cf
    
    def veda_pq(a, b, c):
        """
        韦达定理，已知p+q与pq求解p、q
        """
        delta_sqrt = iroot(b ** 2 - 4 * a * c, 2)[0]
        x1 = (-b + delta_sqrt) // (2 * a)
        x2 = (-b - delta_sqrt) // (2 * a)
        return x1, x2
    
    def wiener_attack(e, n):
        """
        低解密指数攻击：
        params:加密指数e、模数n
        """
        for (d, k) in cal_fra(e, n):
            if k == 0:
                continue
            if (d * e - 1) % k != 0:
                continue
            phi = (d * e - 1) // k
            p, q = veda_pq(1, n - phi + 1, n)
            if p * q == n:
                return abs(p), abs(q)
    

• 解密实现：

  if __name__ == "__main__":
      d, p, q = wiener_attack(e, N)
      print(n2s(fast_power(c, d, N)))
      # aitmc{Wooo!!!You_are_a_master_of_Wiener_Hack!But_are_you_true_master??}