格密码训练 | Miao-25 Blog

type

status

date

summary

password

🐳格密码

🫣ISCTF 2022 eazy lattice

📑题目

🪄题解

c = (inverse(e, q) * useful + pow(m, e, q)) % p

构造格

LLL格约减之后显然第一格结果就是解

求出(mod q),求出e，再求e在phi(q)下的乘法逆元d

因为m大于q，爆破一下

👀wp

🫣深育杯2021 GeGe

📑题目

🪄题解

NTRU格密码

构造格

构造A，可以规约出来f,g

👀wp

🫣HNCTF2022 little lattice

📑题目

🪄题解

已知h,p,求f,g,和上一题一样格基规约得到f,g

'NSSCTF{' + md5(bytes.fromhex(hex(f+g)[2:])).hexdigest() + '}

👀wp

🫣羊城杯202 LRSA

📑题目

🪄题解

已知

其中已知P*P*Q，P*Q*Q，c,t,e

求P,Q

求p，q

构造格

规约出来(p-58),(q-t)，t已知，可求出p,q

RSA

p,q,e,c已知，求出d，解rsa

👀wp

🫣DASCTF月赛 littleRSA

📑题目

🪄题解

一开始构造的格，规约出来的太大了

规约出来,求出p,q也可的n//p→rsa

👀wp

🫣NUSTCTF2022 eazyyy lattice

📑题目

🪄题解

e做指数不好求，这里转化为求d

构造格

规约出来T*d

d=res[0][0],求出解密指数d,解出RSA

共私钥指数攻击

其中

RSA的共解密指数攻击

👀wp

🫣PWNHUB2022冬季赛大杂烩

📑题目

🪄题解

求b

POINT = (996 : 151729833458737979764886336489671975339 : 1)这椭圆曲线上的一点，,a已知，带入点可以求出b

求e

ab已知，恢复e

a, b = e & 0x3ffffffffff, e >> 42

#0b111111111111111111111111111111111111111111 (42位）

a是e的低42位

b是e的高位（除去e的后42位），eh=b,el=a

求d1，d2

构造格

同理可求d2

如果左上角不是1呢

恢复d

d1 = d >> 512

d2 = d & (1 << 512) - 1

#-的运算优先级高于&

-的优先级高于&

(1 << 512) - 1 : '0b11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111'

显然，d2→d的低512位，d1是d的高位（d >> 512 ）正好恢复d

已知e,d,分解n

脚本

👀wp

🫣SCTF 2022 eazy lattice

📑题目

🪄题解

环上的NTRU格密码

在商环下的乘法

对系数作出限制，取最小剩余系

d1个为1的系数，d2个为2 的系数

商环下求逆元

密钥的获取

加密

已知pub_key（公钥）和e加密密文，解密需要求私钥

👀wp

🫣HZNUCTF2023 nothing

📑题目

🪄题解

proof_of_work

sha256爆破

SM2签名

未提到的已知

SM2中六个参量都是固定的。根据国密局给出的规范定义如下：
方程为：
SM2的签名结果是由两个数字拼接构成，SM2签名的长度为128位

求出私钥,就可以获得flag

可以获得55组签名

HNP问题 👐👐这里学习了一下lattice之HNP

Lattice 之 HNP

有这样的一些等式，然后A,B已知,k的bit位数要小于p的bit位数，等式数量足够的情况下，少6bit位数可以求解k

具体构造如下矩阵

其中K为ki同bit位数的数（bit_length(ki)=250 K=2^250)

Z为需要自己构造的数

要尽可能的满足Z*x的bit位数与K一致

一般Z取K/q, K的构造也是为了让vk中的每一项的长度都差不多，这样有利于找到vk

🪄

注意：Z取K/q 这时候构造的矩阵不能是ZZ,K/q结果不一定是整数

构造格

验证

由求出来ki求d

👀wp

📎 参考

HZNUCTF2023 （小师傅的 wp)

🤔总结

根据一个等式，构造简单的格（已知量放格内，规约出未知量，尽量使规约出来的比特差不多，这样更容易找到）

NTRU格密码，数域和环上构造的格一样,求出私钥g,f

共解密指数攻击

已知e,d,分解n

SM2签名验签

HNP问题，格构造

🎉

结束啦！！