type
status
date
summary
password
category
slug
icon
🫣[签到]古典大杂烩
📑题目
🐩👃🐪🐼👅🐯🐩👈👇👭👟👝🐺🐭👉👙👤👋👚🐪🐫👍👢👮👱🐼👢👨👠👭🐽🐰🐻👚👂👧👠👥👛👮👯👮👬🐾👐👛👌👚👞🐨👏👉👆🐿👆👘👇🐺👦🐸👃🐭👟👑👪👃👁🐻🐻👜🐧👇👊🐧🐾🐼👇🐫🐺👐👆👪🐼👋👌👧🐻👐🐩🐺👥🐽👋👉🐰👎👠👠👣🐧🐫👧🐭👢🐯👑👑🐮👂👏🐻👥👚🐮👋👬👌👥👁👣👅👧👯👦👌👌👍👠👌🐽👉👃👊🐫👉🐨🐮👩👆🐪🐯👘👏👏🐼👩👍👊👍👡👀👰👋👣👨👧👍👜👐👛🐮👘👅👠🐿👂👰👄👈👝👠👤👃👛👘🐭👅👱👆👬👫👥👆🐽👁👐👥👊👇👉👊👩👌👭🐫🐫👬👱🐯👇🐺👁👞👑👙🐮👜👋👘👪👩👚👦👨👀👩👐👉👃🐾👥👀🐫👝👍🐩🐧👰👆👇👨🐪👃🐭👦🐫👱
🪄题解
base100
工具ToolsFx
SICTF{fe853b49-8730-462e-86f5-fc8e9789f077}
🫣Radio
📑题目
🪄题解
中国剩余定理求出m^e
👀wp
🫣MingTianPao
📑题目
🪄题解
MTP
Ci=Mi^flag,已知多组ci,恢复mi和flag
👀wp
🫣EasyCoppersmith
📑题目
🪄题解
leak = p >> 230
已知p的高512-230=282位,copper攻击
已知576位,可爆破出1024位的p
已知286位才能求解512的p
关于small_roots的使用方法:
small_roots(X = ,beta = ) 有两个参数
X代表所需要求解根的上限;虽然是根的上限,并不是说上限越高越好,当上限超过某个值的时候就会计算失效,即使已知二进制位数满足条件,也无法用此函数求得结果;所以一般来说X取在给定情况下的最大求解上限
beta即是前面提到的β ,当p,q二进制位数相同时一般只能取0.4;如果p,q二进制位数不同,就具体问题具体分析
SageMath中
small_roots方法的epsilon参数的默认值为0.05,该默认参数下的bound不足以解出本题的小整数解一般情况下需要已知286位才能求解512的p
但是把
small_roots(epsilon = 0.01)改动epsilon参数为0.01可以在已知264位的情况下求解p
👀wp
🫣签到题来咯!
📑题目
🪄题解
Coppersmith’s Short-pad Attack & Related Message Attack(Franklin-Reiter攻击)
当 Alice 使用同一公钥对两个具有某种线性关系的消息 M1 与 M2 进行加密,并将加密后的消息 C1,C2 发送给了 Bob 时,我们就可能可以获得对应的消息 M1 与 M2 。这里我们假设模数为 N,两者之间的线性关系如下:
其中 f 为一个线性函数,比如说 f=ax+b
在具有较小错误概率下的情况下,其复杂度为
这一攻击由 Franklin与Reiter 提出。
👀wp
🫣small_e
📑题目
🪄题解
低加密攻击,爆破+开e方,这里m的高位没用到
👀wp
🫣easy_math
📑题目
🪄题解
消p
👀wp
🤔总结
小位数直接当作已知数(爆破可出);Coppersmith’s Short-pad Attack & Related Message Attack(Franklin-Reiter攻击);MTP攻击;
small_roots方法的epsilon参数📎 参考