Рейтинг:1

Crypto

Атака со слепой подписью RSA, но без публичных экспонентов

rengoku

23.06.2023, 12:43

Я пытался решить конкретную задачу, где мы должны подписать сообщение администратора.

Сначала это кажется классической атакой слепой подписи RSA, но в конце концов они не выдают общедоступные показатели степени (e, n), а e имеет длину Prime (128).

Сервер предлагает зашифровать что угодно n раз, но не сообщение администратора, и есть возможность проверки, если мы проверим сообщение администратора, мы получим флаг!

Но я полностью застрял здесь, любая помощь будет оценена по достоинству.

Спасибо.

0 + 0

атака

Рейтинг:1

Crypto

poncho

23.06.2023, 14:22

Но я полностью застрял здесь, любая помощь будет оценена по достоинству.

Что ж, похоже, это вызов CTF (или что-то подобное), поэтому я не буду давать полный ответ; Я дам намеки на две связанные с этим подпроблемы.

Первая задача состоит в том, чтобы восстановить модуль $n$; Как мы можем сделать это? Если мы попросим зашифровать оба $с$ и $с^2$ (для некоторых $c < \sqrt{n}$; мы можем получить оценку размера $n$ запрашивая подпись произвольного значения), как мы можем получить кратное $n$ из этих двух значений $c^e \bmod n$ и $c^{2e} \bmod n$? Что, если бы мы сделали это с другой парой $ д, д ^ 2 $? Как это можно использовать?

Вторая проблема заключается в выводе значения $m^e \bmod n$, где мы знаем значение $n$ (но нет $е$) и где $м$ это сообщение администратора. Намекать: $a^e \times b^e \equiv (ab)^e \pmod n$, даже если мы не знаем, что $е$ является...

0 + 0

rengoku

23.06.2023, 16:01

Спасибо за внимание! и сообщение кажется простым ==> assert isPrime(to_sign) Так будут ли альтернативные обходные пути?

Ответить

poncho

23.06.2023, 16:38

@rengoku: ну, тогда вам нужно вычислить модульную инверсию на шаге 2, чтобы найти $b$ при заданных $a, m$; не *так* сложно, я полагаю...

Ответить

rengoku

25.06.2023, 14:39

Спасибо за помощь ! мне удалось это решить

Ответить

Рейтинг:1

Crypto

AZAN SHAHID

23.09.2023, 09:54

Осторожно, спойлеры:

Если сервер позволяет подписывать отрицательное целое число, вы можете подписать отрицательное сообщение администратора. Вы получите положительное значение. Отправьте отрицательный результат в качестве подтверждения, и вы его получите. Если вы все еще хотите положительный знак подписи -1 значение, которое вы получите, п-1. Просто добавь 1 в нем получить н. А для RSA сумма положительного и отрицательного одного и того же сообщения равна н. Просто вычтите шифрование негативного сообщения из н и вы получите шифрование положительного сообщения администратора.

0 + 0

Admin

Этот вопрос на других языках:

EN: RSA blind signature attack but without public exponents

TH: การโจมตีลายเซ็น RSA ตาบอด แต่ไม่มีเลขยกกำลังสาธารณะ

RO: Atacul orb cu semnătură RSA, dar fără exponenți publici

RU: Атака со слепой подписью RSA, но без публичных экспонентов

VI: Tấn công chữ ký mù RSA nhưng không có số mũ công khai

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.