跳至主要內容

密码学攻击参考

KanaDE2026/5/9大约 3 分钟WikiCTF

CTF 密码学的核心:理解加密算法的数学结构,找到参数选择或实现中的漏洞。

基础数学公式

概念公式Python
模逆元de1(modφ(n))pow(e, -1, phi)inverse(e, phi)
大数幂m=cdmodnpow(c, d, n)
扩展欧几里得ax+by=gcd(a,b)g, x, y = gcdext(a, b)
中国剩余定理xai(modni)crt([n1,n2], [c1,c2])
整数开方m=ceiroot(c, e)

RSA 攻击决策树

PlantUML Diagram

RSA 攻击公式与代码

1. 直接分解 n

from Crypto.Util.number import inverse, long_to_bytes

# 已知 p, q, e, c
phi = (p - 1) * (q - 1)
d = inverse(e, phi)
m = pow(c, d, n)
print(long_to_bytes(m))

2. 共模攻击

条件:相同 n、不同 e、相同 m,且 gcd(e1,e2)=1

g, s1, s2 = gcdext(e1, e2)  # e1*s1 + e2*s2 = 1
m = (pow(c1, s1, n) * pow(c2, s2, n)) % n

3. 广播攻击

条件:相同 e、不同 n、相同 m,且加密份数 ≥ e

M = crt([n1, n2, n3], [c1, c2, c3])[0]
m, exact = iroot(M, e)  # e=3 时开立方
if exact: print(long_to_bytes(m))

4. 维纳攻击

条件:d<13n1/4(此时 e 通常很大,接近 n)

from owiener import attack
d = attack(e, n)
m = pow(c, d, n)

5. 小指数 p-1 光滑

条件:p1 的因子都很小(smooth)

# pollard_pm1 方法,或直接用 RsaCtfTool
from Crypto.Util.number import GCD
a = 2
for i in range(2, 100000):
    a = pow(a, i, n)
    g = GCD(a - 1, n)
    if g != 1 and g != n:
        p = g; break

常见编码与古典密码

编码特征工具
Base64A-Za-z0-9+/=base64 -d / CyberChef
Base32A-Z2-7=CyberChef
Hex0-9a-fxxd -r -p / bytes.fromhex()
ROT13字母位移 13凯撒密码特例
摩斯密码.-CyberChef
栅栏密码按 N 列重排CyberChef
维吉尼亚密钥循环异或需找密钥长度(重合指数法)

SageMath 速查

SageMath 是 Crypto 的终极工具,基于 Python 语法但内置了丰富的数学能力。

# 在 .sage 文件中或 sage 交互环境
F = GF(p)                        # 有限域 GF(p)
x = F(2) ** -1                   # 域中求逆

E = EllipticCurve(GF(p), [a, b]) # 椭圆曲线
P = E(x, y)
Q = n * P                        # 标量乘法

# 格(Lattice)—— 进阶必备
M = Matrix(ZZ, [[...]])
M.LLL()                          # LLL 格基约简

# 离散对数
discrete_log(h, g)               # 求 x 使得 g^x = h

常见对称密码特征

算法分组大小密钥常考方向
AES-128128 bit128 bitECB 重放、CBC 字节翻转、Padding Oracle
DES64 bit56 bit弱密钥、暴力破解(已可破)
RC4流密码可变流密码密钥重用(XOR 抵消)

工具速查

工具用途
SageMath数学环境(格、椭圆曲线、离散对数)
RsaCtfToolRSA 一键攻击集合
FactorDB在线大整数分解数据库
yafu本地大整数分解
CyberChef在线编码/解码/加密瑞士军刀
PyCryptodomePython 密码学库

交叉引用

最近更新:
贡献者: sunsi
KanaDE
Copyright © 2026 KanaDE