一种针对RSA较大的gcd(p-1,q-1)=β的攻击方法
对于\(N=pq\),\(p\) 和 \(q\) 相近并且 \(p-1\) 与 \(q-1\) 有一个大的共因子 \(\beta\) ,那么可以在 \(O(\frac{N^{\frac{1}{4}}}{\beta})\) 时间内分解\(N\)
b01lers CTF
crypto
Hardcore
模2同余方程组
1 | from pwn import * |
1 | from Crypto.Util.number import * |
2022DASCTF Apr
crypto
easy_real
爆破hash,xor密码
1 | from Crypto.Util.number import * |
*CTF 2022 crypto
ezRSA
方法1
p,q的900位以后的高位hb都是一样的,可以先求出来
设\(p=hb+y\),那么\(q=hb+2^{900}-y+z\),z为300位的随机数,可以得到 \[ p+q=2hb+2^{900}+z,\ p-q=2y-2^{900}-z \] 因为\(n=pq\),\(p+q\)的高位(低300位未知)已知,可以由\(p-q=\sqrt{(p+q)^2-4n}\)求出\(p-q\)的近似值相应的y的近似值也能求出,再用coppersmith求出y的低位从而求出p
Coppersmith算法及其应用
速查
LLL算法
\[ ||v_1|| ≤ ||v_2|| ≤ ... ≤ ||v_i|| ≤ 2^{ \frac{n(n−1)}{4(n+1−i)}}det(L)^{\frac{1}{n+1−i}}\\ ||v_1|| ≤ 2^{ \frac{n−1}{4}}det(L)^{\frac{1}{n}} \] #### Minkowski定理
格子L存在向量 \(v\) ,满足 \(||v||\le \sqrt{n}\ det(L)^\frac{1}{n}\)
CopperSmith算法
sage自带
1 | n=10001 |
参数见 sage doc
多元coppersmith脚本
脚本参考 coppersmith 参数:
- f 函数
- bounds 各变量的上界X组成的元组tuple
- m 模的幂
- d variable shifts(多元时要手动设置为f的项的个数)
2022 D^3ctf密码题赛后复现(ing)
d3factor
方法1
造格子 设\(\epsilon=d_2-d_1\),有 \(e_1e_2\epsilon +e_2-e_1\equiv0\ mod\ p^6\) 化为\(\epsilon+b=kp^6,\ b\equiv(e_1e_2)^{-1}(e_2-e_1)\ mod\ p^6\) 设\(M=N^{\frac{1}{2}}\), \(L=\begin{pmatrix}M&b\\\\ 0&N\end{pmatrix}\) \((pq\ -k)L=(pqM\ -pq\epsilon)\)
Hello World
发表于
更新于
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.
Quick Start
Create a new post
1 | $ hexo new "My New Post" |
More info: Writing
Run server
1 | $ hexo server |
More info: Server
Generate static files
1 | $ hexo generate |
More info: Generating
Deploy to remote sites
1 | $ hexo deploy |
More info: Deployment