Rsa
RSA 盲簽名攻擊,但沒有公共指數
我一直在嘗試解決一個特定的挑戰,我們必須簽署管理消息。
起初,這似乎是一個經典的 RSA 盲簽名攻擊,但最終他們沒有給出公共指數(e,n)並且 e 的長度為素數(128)。
伺服器提供加密任何 n 次但不加密管理消息的選項,並且有一個驗證選項,如果我們驗證管理消息,我們會得到標誌!
但我完全被困在這裡,任何幫助將不勝感激。
謝謝。
但我完全被困在這裡,任何幫助將不勝感激。
好吧,這似乎是一個 CTF 挑戰(或類似挑戰),所以我不會詳細說明答案;我將對所涉及的兩個子問題給出提示。
第一個問題是恢復模量 $ n $ ; 我們怎麼能這樣做?如果我們要求對兩者進行加密 $ c $ 和 $ c^2 $ (對於一些 $ c < \sqrt{n} $ ; 我們可以估算出 $ n $ 通過詢問任意值的簽名),我們如何獲得 $ n $ 從這兩個值 $ c^e \bmod n $ 和 $ c^{2e} \bmod n $ ? 如果我們用另一對來做那件事怎麼辦 $ d, d^2 $ ? 那怎麼能用呢?
第二個問題是推導值 $ m^e \bmod n $ , 我們知道值 $ n $ (但不是 $ e $ ) 和在哪裡 $ m $ 是管理員消息。暗示: $ a^e \times b^e \equiv (ab)^e \pmod n $ ,即使我們不知道什麼 $ e $ 是…