rsa加密初探

RSA加密算法初探

　　RSA加密算法是早期的非对称加密，公钥和私钥分离，公开公钥，通过确保私钥的安全来保证加密内容的安全。由麻省理工学院的罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）在1977年一起提出的，所以算法由他们三人的姓名首字母来命名。

　　有关RSA加密算法原理以及应用的文章在网上有很多，CTF中，RSA在密码学，misc以及逆向中考察得也很频繁（有些题目中好像也会出现RSA的魔改版本~Orz）。这里是我个人在学习RSA加密算法中的一点梳理和总结，主要从数学原理、加密原理以及RSA加密算法攻击层面的常见手段出发，剖析RSA加密。

一、数学原理

　　从数学层面理解RSA加密算法的核心，在于对于欧拉函数和模反运算的理解。

　 1、欧拉函数

　　对于一个正整数n，我们要计算小于n的正整数中，有多少和n互质（即和n只有一个公约数1），我们通过欧拉函数来计算。

　　(1)当n=1时，则 φ(1) = 1；

　　(2)当n是一个质数时，φ(n)=n-1，因为质数本身只有1和它本身两个约数，所以质数和小于它的任何正整数都互质；

　　(3)当n是一个质数的k次方时，即n=p^k（p为质数，k为大于等于1的整数），则φ(n)=p^k-p^(k-1)，可以看到，k=1的时候，第2种情况就是第3种的特殊情况；

　　(4)欧拉函数是一个积性函数，即如果n可以分解成两个互质的整数之积，即n = p1 × p2，这时候φ(n) = φ(p1p2) = φ(p1)φ(p2)；

　　(5)n可以写成一系列质数的积的形式，φ(n)=n(1-1/p1)(1-1/p2)…(1-1/pr)，p1，p2…pr分别表示n可以被分解的最小质数。这个公式是欧拉函数的通用计算公式。

　　2、欧拉定理

　　欧拉定理是费马小定理的一般化，费马小定理有如下描述。

　　假如a是一个整数，p是一个质数，那么a^p-a是p的倍数，可以表示为：

　　a^p-a=kp(k为整数)，即可表示为：

　　a^p≡a (mod p)，当a是p的倍数时，a^p≡a(mod p)=0。当a不是p的倍数时，可写作a^(p-1)≡1(mod p)。

　　欧拉给予费马小定理以一般化（膜真神）：欧拉定理表明，两个正整数a,n,在a和n互质的情况下（即gcd(a,n)=1）,a^φ(n)≡1 (mod φ(n))。

　　3、模反运算

　　举个例子，对于ed≡1 (mod φ(n))，要求出d的值。上式等价于:ed-1=kφ(n)，k为整数。这时候，模反运算就可以等价为一个二元一次方程。求解二元一次方程的过程，这里也分析一下。

　　要求出d，需要用到拓展欧几里得算法。在了解拓展欧几里得算法之前，首先要看一下贝祖定理。

　　贝祖定理：对于不完全为 0 的非负整数 a，b，gcd（a，b）表示 a，b 的最大公约数，必然存在整数对 (x，y) ，使得 gcd（a，b）=ax+by。
拓展欧几里得算法，我们可以通过一个例子来看一下。求解不定方程：17x+3120y=1。
观察可得，17和3120互质,这个方程满足贝祖等式，我们这里通过辗转相除法计算：
(1)3120=18317+9
(2)17=9+8
(3)9=8+1
求得1为最大公约数,然后移项
(1)9=3120+183（-17）
(2)8=17+9(-1)
(3)1=9+8(-1)
接着用(2)式中的8=17+9(-1)替换掉三式中的”8”，依次类推：
(1)1=9+[17+9(-1)](-1)
(2)1=92+17(-1)
(3)1=[3120+183(-17)]2+17(-1)
(4)1=31202+17(-367)
那么最后求得的x=-367,y=2。
　　对于互质的整数a,b而言，贝祖等式可以写为a^x+b^y=1。二元一次方程是一个不定方程，所以需要找到一组解（x0,y0），然后用（x0,y0）去表示一组解的通解。

二、RSA加密原理

　　1、公钥私钥产生和分配

　　　　  （1）进行加密之前，首先找出2个不同的大质数p和q；

　　　　（2）计算n=p*q，这里在选取p和q的时候，应该注意几点：p和q不能选取的太近，我们一般取同一数量级之中，差比较大的两个数；

　　　　（3）根据欧拉函数，求得φ(n)=φ(p)φ(q)=(p-1)(q-1)；

　　　　（4）找出一个公钥e，e要满足：1<e<φ(n)的整数，且使e和φ(n)互质；

　　　　（5）根据e*d除以φ(n)余数为1，找到私钥d，这里求d，就是求一个模反运算，可以通过拓展欧几里得算法来计算;

　　　　（6）公钥就是（n,e）,私钥就是（n,d）

　　2、加解密

　　　　 m为密文，c为明文，这里的密文和明文都是数字的形式，对于字符串来说，可以取ascll码和unicode码。

　　　　 RSA加密：m^e ≡ c (mod n)

　　　　 RSA解密：c^d ≡ m (mod n)

　　RSA算法的安全性在于：已知公钥e和质数乘积n，要通过模反运算计算出私钥，需要计算出φ(n)，由上文提到的欧拉函数计算的第三条可以得到φ(n)

=（q-1)(p-1)，计算φ(n)需要得到质数q和p。你可以通过质数q和p来计算出n，但是要将n进行因数分解是非常困难的。所以，在选取的n足够大的情况下，要进行因数分解是一件非常困难的方法。未来要进行高于1024个二进制位私钥的破解，可能只有两种思路：足够强大的计算力，数学领域能够在因数分解方面提出全新的方法。所以截止目前为止，对于RSA加密算法来说，没有足够有效的方法进行破解。
　　RSA目前人类分解的最大整数是232个十进制位，768个二进制位。所以，一般在加密过程中使用1024个二进制位的密钥，在对安全性要求很高的情况下，使用2048个二进制位的密钥，我们认为这是绝对安全的。

CTF中的RSA

CTF中对于RSA的考察相当地频繁，水平有限，这里以我个人学习经历，总结几种比较常见的攻击手段。

模数分解

　　工业界常用到的RSA加密是1024或者2048个二进制位的密钥。但是在题目中，常常给出256位的密钥。这时候，我们可以利用一些工具直接对n进行分解，得到p，q，然后通过题目中给出的(n,e),密文m,利用拓展欧几里得算法来计算出私钥d，求出明文。这也是最基础的考察方式。

低加密指数攻击

　　m^e≡c(mod φ(n)),当e==2或e==3，且明文较小时，m^3=nk+c,这时候可以爆破一下k的值，然后对nk+c求解立方根。这种题目，很多时候需要多线程跑一下，也可以用现成的一些工具，前段时间CYBRICS CTF就有这样一道题目。

模不互素

　　模不互素攻击，需要满足以下条件：
　　1、有两个或者以上的模数，且模数之间不互素，即存在最大公约数；
　　2、对两段明文进行加密时，选取了相同的e来求解d；
　　模不互素，通过辗转相除法求解两个模数的公约数，这时候就可以成功分解两个质数q和p，这时候再要对密文进行求解，就非常简单了。

RSA共模攻击

　　共模攻击的条件：题目给出两对公钥(n,e1),(n,e2)，且n1，n2互质,给出分别由两对秘钥加密的两组密文m1,m2。
　   这时候我们已知的条件是：e1,e2,m1,m2,n。
　   由于e1,e2互质，由贝祖定理可得:e1s1+e2s2=1。s1和s2可以由拓展欧几里得算法得知。这时候明文m满足条件：m=(c1^s1)*(c2^s2)%n。由此可以解得明文。

RoarCTF：EZRSA

from Crypto.Util.number import *
from gmpy2 import *
from secret import *

assert(flag.startwith('flag{')) and (flag.endwith('}'))
assert(is_prime(beta) and len(bin(beta)[2:]) == 512)
assert(len(bin(x)[2:]) == len(bin(y)[2:]))
# This is tip!!!
assert(tip == 2*x*y*beta + x + y)

p = 2*x*beta + 1
q = 2*y*beta + 1

assert(is_prime(p) and is_prime(q))

n = p*q
e = 65537
m = bytes_to_long(flag)
enc = powmod(m,e,n)   

　　给出了算法和提示，公钥和密文也给出来了，tip可以用一下表达式来求解：

tip=(n-1)/(2*beta)

　   如果能够求解出x和y的话，也就可以算出p和q，算出p和q的话，就可以求出N=(p-1)*(q-1)的值。然后通过拓展欧几里得算法就可以求出私钥(n,d)，然后通过d实现对密文的解密。