0xGame Div 4 题解
About
4周过去,7172分。还没第一周的某些人高,我果然是个fw。不过自己的CTF学习进入了第二阶段,很快就要进入数论了。 然而最近又在参加学校ACM菜鸟赛((作为一个当年距离1=只差15分的2=蒟蒻,我该怎么办)
Crypto
1. littleTrick
一道并不算很难得题目,但我这个fw还是用了4个小时才做出来,wtcl
首先先看一下题目的主要代码:
1 | def handle(self): |
题目一开始,会给出$n$的值(此处相关的题目代码省略了),$e=65537$为固定值
从代码中我们可以知道:这是一个很明显的RSA题目,flag的长度是$44$位,每当我们输入一个$16$进制数,系统会用解密函数对这个数字进行解密,如果超过flag的长度$44$位直接推出交互。否则将答案的最后替换为解密结果之后加密计算$c’$
很显然,对于每次交互的内容,我们必须慎重考虑。 根据通识可知:flag的最后一位一定是},,其ASCII码为$125$。所以我们可以先对服务器发送数值$125$通过加密后的数字(以$16$进制格式)发送给服务器,这样我们就得到了正确的$c$值了
得到正确的$c$值之后,我们可以每次枚举字符串的前一位,加密后发送给服务器,如果服务器返回的值与刚才得到的正确的$c$值完全一致,那么我们就认为这一位是正确的(因为这样相当于原密文没有被替换)。枚举结束我们就得到了flag
下面附上低清有码的脚本代码,别看因为我可菜了
1 | from pwn import * |
2.ElGamal
密码学压轴题= =,虽然不是远程题目但是最难的。代码量不大但思维量很大,因为这道题与数论联系极其紧密。虽然我以前打过OI,但学得不深,更别谈既有OI基础又有数学竞赛基础的Hermesdalao相比了。所以我在得到1..hint之后,才做了出来。由于这题很难所以WP(自己的学习笔记)要认真地写一下。
我们约定一下:以下凡无特殊说明,所有的数字均为整数,所有的除法均为整除
Note 1:ElGamal基本加密方法
step1:选择一个大质数$p$,和集合$Z_p^*$上的一个生成元$g$
step2:选择一个数字$k$在$[0,p-2]$内,计算$y=g^k \mod p$,也就是$g^k\equiv y \mod p$
step3:随机选取$r∈Z_{p-1}$,加密函数为$E(k,x,r)=(y_1,y_2)$ 其中$y_1\equiv g^r \mod p$,$y_2\equiv my^r \mod p$
其中:$k$是私钥,$p,g,y$是公钥
Note 2:ElGamal基本解密方法
解密函数:$D(y_1,y_2)=y_2(y_1^k) \mod p \equiv m(g^k)^r(g^{kr})^{-1}\equiv m \mod p$
很显然,ElGamal是一个基于离散对数的加密算法,想求出私钥$k$基本上是不可能的,目前最有效爆破离散对数的算法的复杂度为$O(\sqrt{p})$,但对于高达$512$位二进制数的大质数$p$,这个算法复杂度是非常高的。
根据西电大佬shallow在MOECTF的《Crypto入门指北》中所说:CTF中所有的密码学题目都是通过有漏洞的加密方式实现的。重点就是要从中找出漏洞,并且在没有密钥的情况下恢复明文。
所以,我们回归一下题目实现算法的源代码:
1 | from Crypto.Util.number import * |
密文先被转化成了二进制,然后根据每一位是$0$还是$1$,用一个数字加密了,其中当这一位为$0$时选取的数字是个平方数对$p$取模的值,这一位是$1$时选取的数字不是一个平方数对$p$取模的值。然后将这个数字记为中间密文$x$,再产生一个随机数$r$作为指数将其加密。
既然这里涉及到了平方,而一个完全平方数对某个数取模一定会有某些特殊的性质,在hint的指引下,我们来看看什么叫做模$p$平方剩余和二次互反律:注:本题解/博客只讲解归纳法得到的性质,不讲解证明是因为我也不会,实际上是因为懒
Note 3:模$p$平方剩余
我们都知道:$3^2 \equiv 2 \mod 7$,所以$∃ x\in Z_7^*$,使得$x^2\equiv 2 \mod 7$有解,此时我们称$2$是模$7$的二次剩余
性质1:很显然在普通的一元二次方程中,$x^2=a^2$有两解$a$和$-a$,所以解方程$x^2\equiv 2 \mod 7$也有两解为$3$和$-3$(也就是$4$,因为$-3 \equiv 4 \mod7$)。由此可见$x^2\equiv (p-x)^2 \mod p$(直接展开即可证明其正确性)
我们可以继续看:在$Z_7^*$里面的$6$个数的平方分别为$1,4,2,2,4,1$。所以$1,2,4$是模$7$意义下的二次剩余,$3,5,6$不是模$7$的二次剩余
*性质2:可以证明,对于任何质数$p$,在$Z_p^$中,总是有一半的数是模$p$的二次剩余,也总有一半的数为模$p$的二次非剩余**
我们记$\mathrm{\mathrm{QR}}$为二次剩余,$\mathrm{\mathrm{NR}}$为二次非剩余,在模$7$意义下,$\mathrm{QR}={1,2,4},\mathrm{NR}={3,5,6}$。观察下列等式,我们可以得到性质3
(1)$2×4\equiv 1 \mod 7$ (2)$3×4\equiv 5 \mod 7$ (3)$3×5\equiv 1 \mod 7$
性质3:$\mathrm{QR}×\mathrm{QR}=\mathrm{QR}$,$\mathrm{QR}×\mathrm{NR}=\mathrm{NR}$,$\mathrm{NR}×\mathrm{NR}=\mathrm{QR}$
所以,我们可以类比$1$和$-1$两个数,将$\mathrm{\mathrm{QR}}$理解成$1$,$\mathrm{\mathrm{NR}}$理解成$-1$,
所以我们引入勒让德符号$(\frac{a}{b})$,意义为$a$是否为模$b$意义下的二次剩余,如果是,该值为$1$,如果不是,该值为$-1$
例如:$(\frac{4}{7})=1,(\frac{3}{7})=-1$
性质4:根据性质2,3中的结论,我们可以推出以下公式$(\frac{ab}{p})=(\frac{a}{p})(\frac{b}{p})$
由于任何一个数都可以写成几个质数乘方的乘积,而多数情况下我们只研究$a,b$均为奇数的情况,所以我们需要进一步研究几个性质
Note 4:两个特殊的数:$-1$和$2$
观察以下式子,我们可以得出性质5和性质6
$(\frac{-1}{3})=-1$ ,$(\frac{-1}{5})=1$,$(\frac{-1}{7})=-1$,$(\frac{-1}{11})=-1$ $(\frac{-1}{13})=1$ $(\frac{-1}{17})=1$,$(\frac{-1}{19})=-1$
$(\frac{2}{3})=-1$,$(\frac{2}{5})=-1$,$(\frac{2}{7})=1$,$(\frac{2}{11})=-1$,$(\frac{2}{13})=-1$,$(\frac{2}{17})=1$,$(\frac{2}{19})=-1$
性质5:对于质数$p$,若$p\equiv 1 \mod 4$,则$(\frac{-1}{p})=1$。若$p\equiv 3\mod 4$,则$(\frac{-1}{p})=-1$ (在模$4$意义下,$3$可以理解成$-1$)
性质6:对于质数$p$,若$p\equiv 1 \mod 8$,或者$p\equiv 7 \mod 8$,有$(\frac{-1}{p})=1$。若$p\equiv 3\mod 8$或者$p\equiv 5 \mod 8$,则$(\frac{-1}{p})=-1$
Note 5:二次互反律
性质4可以进行推广到多个整数相乘,可以验证$(\frac{70}{41})=(\frac{2}{41})(\frac{5}{41})(\frac{7}{41})$。所以我们在面对较大整数的时候,可以使用因式分解。然而面对特别大的整数的时候,你想想这真的可行?RSA怎么解释?
类比欧几里得算法,由于$\gcd(a,b)=\gcd(b,a)$,所以我们能不能尝试交换一下符号中的分子和分母(姑且这么说吧,实际上是很不规范的说法),看看里面的性质呢?
此处不多介绍,自己找几个数字归纳归纳吧,直接放上结果,$m,k\in Z$
**性质7:$(\frac{4k+1}{4m+1})=(\frac{4m+1}{4k+1})$ , $(\frac{4k+3}{4m+1})=(\frac{4m+1}{4k+3})$ , $(\frac{4k+3}{4m+3})=-(\frac{4m+3}{4k+3})$ **
也就是说,两个数字如果都模$4$等于$3$时,交换分子分母要变号,否则可以直接交换,此处这里的两个奇数可以无所谓是质数还是合数,只要是奇数就行了,如果为偶数,分解出所有的$2$因子
举个例子,假如我们要计算$(\frac{37603}{48611})$,我们可以这样做:
$(\frac{37603}{48611})=-(\frac{48611}{37603})=-(\frac{11008}{37603})=-(\frac{2^8×43}{37603})=-(\frac{43}{37603})=(\frac{37603}{43})=(\frac{21}{43})=(\frac{43}{21})=(\frac{1}{21})=1$
约定$(\frac{1}{p})\equiv 1$
讲了这么多性质,我们可以得到这样的判断代码:很短,但是技术含量非常高
1 | def isqr(x,p): |
我们发现:这道题的$y$和$g$都是$p$的二次剩余!根据$y_1\equiv g^r \mod p$,$y_2\equiv my^r \mod p$,$D(y_1,y_2)=y_2(y_1^k)$和性质 3 可知:这里的$m$就是明文,所以我们只要判断一下isqr(y1,p)*isqr(y2,p)的值是$1$还是$-1$,就可以知道明文是否为二次剩余值,然后就可以判断那一位是$0$还是$1$了。
下面放上所有的代码,我们发现给出来了$350$组数字,可以判断最前面缺了$2$位$00$,flag一共是$44$位。
1 | from given import g,p,y |
Note 6:解出题目之后的一些思考:
这道题$y$是$p$二次剩余,$g$也是二次剩余,所以这道题有很多性质可以利用。试想一下,假如$y$不是$p$的二次剩余又会是怎样一种情况呢?
在Am473ur师傅的启发下,我得出了这样的结论:
当$y$不是$p$的二次剩余时,说明$g$必定不是$p$的二次剩余,根据$g^k\equiv y \mod p$可知,这里的$k$必定是一个奇数。
所以,根据之前的加密函数$D(y_1,y_2)=y_2(y_1^k) \mod p \equiv m(g^k)^r(g^{kr})^{-1}\equiv m \mod p$,简单思考,我可以得到这样的结果:
$y=\mathrm{NR}$时:
若$y_1=\mathrm{NR},y_2=\mathrm{NR}\Rightarrow m=\mathrm{QR}$
若$y_1=\mathrm{NR},y_2=\mathrm{QR}\Rightarrow m=\mathrm{NR}$
若$y_1=\mathrm{QR},y_2=\mathrm{NR}\Rightarrow m=\mathrm{NR}$
若$y_1=\mathrm{QR},y_2=\mathrm{QR}\Rightarrow m=\mathrm{QR}$
所以,无论$y$是何值,只要求出$(\frac{y_1}{p})(\frac{y_2}{p})$的值,这就是$(\frac m p)$的勒让德符号了。
目前,自己的《深入浅出密码学》还剩下第5、10、11、12、13五章没来得及看,这五章可以快速地浏览一遍各种新的加密算法,CTFWIKI上也有很多有用的资源值得被我利用,预计11月10日大概能够把这本书结束(11月的SET4和CET4压力还是有点大的,虽然学长们告诉我SET4和CET4很简单,不过我还是希望SET4能够拿到B,CET4考到470分以上),并且后面还要去ACM那边玩玩。
当《深入浅出密码学》看完之后,就得开始学习数学知识了,前者告诉你一些基本加密算法,后面就要找各类算法给出的性质,这样才能找到漏洞~解决问题
huangx607087学习CTF第1阶段,结束。第2阶段,开始
