Rsa

RSA 盲簽名攻擊,但沒有公共指數

  • May 23, 2022

我一直在嘗試解決一個特定的挑戰,我們必須簽署管理消息。

起初,這似乎是一個經典的 RSA 盲簽名攻擊,但最終他們沒有給出公共指數(e,n)並且 e 的長度為素數(128)。

伺服器提供加密任何 n 次但不加密管理消息的選項,並且有一個驗證選項,如果我們驗證管理消息,我們會得到標誌!

但我完全被困在這裡,任何幫助將不勝感激。

謝謝。

但我完全被困在這裡,任何幫助將不勝感激。

好吧,這似乎是一個 CTF 挑戰(或類似挑戰),所以我不會詳細說明答案;我將對所涉及的兩個子問題給出提示。

第一個問題是恢復模量 $ n $ ; 我們怎麼能這樣做?如果我們要求對兩者進行加密 $ c $ 和 $ c^2 $ (對於一些 $ c < \sqrt{n} $ ; 我們可以估算出 $ n $ 通過詢問任意值的簽名),我們如何獲得 $ n $ 從這兩個值 $ c^e \bmod n $ 和 $ c^{2e} \bmod n $ ? 如果我們用另一對來做那件事怎麼辦 $ d, d^2 $ ? 那怎麼能用呢?

第二個問題是推導值 $ m^e \bmod n $ , 我們知道值 $ n $ (但不是 $ e $ ) 和在哪裡 $ m $ 是管理員消息。暗示: $ a^e \times b^e \equiv (ab)^e \pmod n $ ,即使我們不知道什麼 $ e $ 是…

引用自:https://crypto.stackexchange.com/questions/98803