HITCON CTF 2015 Rsabin

Podobne dokumenty
Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Wybrane zagadnienia teorii liczb

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

Zarys algorytmów kryptograficznych

LICZBY PIERWSZE. Jan Ciurej Radosław Żak

INŻYNIERIA BEZPIECZEŃSTWA LABORATORIUM NR 2 ALGORYTM XOR ŁAMANIE ALGORYTMU XOR

LICZBY PIERWSZE. 14 marzec Jeśli matematyka jest królową nauk, to królową matematyki jest teoria liczb. C.F.

Kryptografia-0. przykład ze starożytności: około 489 r. p.n.e. niewidzialny atrament (pisze o nim Pliniusz Starszy I wiek n.e.)

Zadanie 1. Zmiana systemów. Zadanie 2. Szyfr Cezara. Zadanie 3. Czy liczba jest doskonała. Zadanie 4. Rozkład liczby na czynniki pierwsze Zadanie 5.

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

Luty 2001 Algorytmy (7) 2000/2001

Przykładowe zadania z teorii liczb

Wykład 4. Określimy teraz pewną ważną klasę pierścieni.

Kryptologia przykład metody RSA

Dr inż. Robert Wójcik, p. 313, C-3, tel Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

Teoria liczb. Magdalena Lemańska. Magdalena Lemańska,

Załóżmy, że musimy zapakować plecak na wycieczkę. Plecak ma pojemność S. Przedmioty mają objętości,,...,, których suma jest większa od S.

MADE IN CHINA czyli SYSTEM RESZTOWY

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Kongruencje pierwsze kroki

Rozdział 4. Macierze szyfrujące. 4.1 Algebra liniowa modulo 26

Wykład 1. Na początku zajmować się będziemy zbiorem liczb całkowitych

Szyfrowanie RSA (Podróż do krainy kryptografii)

a) Zapisz wynik działania powyższego algorytmu dla słów ARKA i MOTOR...

Matematyka dyskretna

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

ARYTMETYKA BINARNA. Dziesiątkowy system pozycyjny nie jest jedynym sposobem kodowania liczb z jakim mamy na co dzień do czynienia.

Samodzielnie wykonaj następujące operacje: 13 / 2 = 30 / 5 = 73 / 15 = 15 / 23 = 13 % 2 = 30 % 5 = 73 % 15 = 15 % 23 =

Urządzenia Techniki. Klasa I TI. System dwójkowy (binarny) -> BIN. Przykład zamiany liczby dziesiętnej na binarną (DEC -> BIN):

Algorytmy asymetryczne

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Algorytmy i struktury danych. Wykład 4

wagi cyfry pozycje

2. DZIAŁANIA NA WIELOMIANACH

1259 (10) = 1 * * * * 100 = 1 * * * *1

2 Kryptografia: algorytmy symetryczne

EGZAMIN MATURALNY Z INFORMATYKI MAJ 2010 POZIOM PODSTAWOWY CZĘŚĆ I WYBRANE: Czas pracy: 75 minut. Liczba punktów do uzyskania: 20 WPISUJE ZDAJĄCY

Techniki multimedialne

WYRAŻENIA ALGEBRAICZNE

ŁAMIEMY SZYFR CEZARA. 1. Wstęp. 2. Szyfr Cezara w szkole. Informatyka w Edukacji, XV UMK Toruń, 2018

LABORATORIUM PROCESORY SYGNAŁOWE W AUTOMATYCE PRZEMYSŁOWEJ. Zasady arytmetyki stałoprzecinkowej oraz operacji arytmetycznych w formatach Q

Zadanie 1. Potęgi (14 pkt)

Największy wspólny dzielnik Algorytm Euklidesa (także rozszerzony) WZAiP1: Chińskie twierdzenie o resztach

ARCHITEKTURA KOMPUTERÓW Systemy liczbowe

Laboratorium kryptograficzne dla licealistów 6

Matematyka dyskretna

DYDAKTYKA ZAGADNIENIA CYFROWE ZAGADNIENIA CYFROWE

Ćwiczenie nr 3. Wyświetlanie i wczytywanie danych

Projekt AS KOMPETENCJI jest współfinansowany przez Unię Europejską w ramach środków Europejskiego Funduszu Społecznego

Algorytm. a programowanie -

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego

Wykład VI. Programowanie III - semestr III Kierunek Informatyka. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

3. Macierze i Układy Równań Liniowych

Matematyka dyskretna. Andrzej Łachwa, UJ, /15

Systemy liczbowe. 1. Przedstawić w postaci sumy wag poszczególnych cyfr liczbę rzeczywistą R = (10).

0 + 0 = 0, = 1, = 1, = 0.

Systemy liczbowe używane w technice komputerowej

Systemy zapisu liczb.

Kryptografia systemy z kluczem tajnym. Kryptografia systemy z kluczem tajnym

Kod U2 Opracował: Andrzej Nowak

Wrocław, Wstęp do informatyki i programowania: liczby pierwsze. Wydział Matematyki Politechniki Wrocławskiej.

Systemy liczenia. 333= 3*100+3*10+3*1

Dla człowieka naturalnym sposobem liczenia jest korzystanie z systemu dziesiętnego, dla komputera natomiast korzystanie z zapisu dwójkowego

Kryptografia na procesorach wielordzeniowych

Algorytmy w teorii liczb

Copyright by K. Trybicka-Francik 1

Technologie Informacyjne

Programowanie w Baltie klasa VII

Copyright by K. Trybicka-Francik 1

L6.1 Systemy liczenia stosowane w informatyce

Indukcja. Materiały pomocnicze do wykładu. wykładowca: dr Magdalena Kacprzak

Arytmetyka komputera. Na podstawie podręcznika Urządzenia techniki komputerowej Tomasza Marciniuka. Opracował: Kamil Kowalski klasa III TI

Kurs ZDAJ MATURĘ Z MATEMATYKI MODUŁ 2 Teoria liczby rzeczywiste cz.2

0 --> 5, 1 --> 7, 2 --> 9, 3 -->1, 4 --> 3, 5 --> 5, 6 --> 7, 7 --> 9, 8 --> 1, 9 --> 3.

2 Arytmetyka. d r 2 r + d r 1 2 r 1...d d 0 2 0,

Ciała i wielomiany 1. przez 1, i nazywamy jedynką, zaś element odwrotny do a 0 względem działania oznaczamy przez a 1, i nazywamy odwrotnością a);

0CTF 2016 Quals People s Square

Wstęp do Informatyki zadania ze złożoności obliczeniowej z rozwiązaniami

Jak zawsze wyjdziemy od terminologii. While oznacza dopóki, podczas gdy. Pętla while jest

Wykład VII. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Wstęp do informatyki- wykład 2

Wstęp do Informatyki

Wstęp do informatyki- wykład 1 Systemy liczbowe

Spis treści. Przedmowa... 9

Kongruencje i ich zastosowania

Algorytmy i złożoności Wykład 5. Haszowanie (hashowanie, mieszanie)

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

PRZEKSZTAŁCANIE WZORÓW!

Zegar ten przedstawia reszty z dzielenia przez 6. Obrazuje on jak kolejne liczby można przyporządkować do odpowiednich pokazanych na zegarze grup.

Twierdzenie Eulera. Kongruencje wykład 6. Twierdzenie Eulera

Piotr Chrząstowski-Wachtel Uniwersytet Warszawski. Al Chwarizmi i trzy algorytmy Euklidesa

Temat: Algorytm kompresji plików metodą Huffmana

Nazwa implementacji: Nauka języka Python wyrażenia warunkowe. Autor: Piotr Fiorek. Opis implementacji: Poznanie wyrażeń warunkowych if elif - else.

Przewodnik użytkownika

Wykład IV. Kryptografia Kierunek Informatyka - semestr V. dr inż. Janusz Słupik. Gliwice, Wydział Matematyki Stosowanej Politechniki Śląskiej

Dr inż. Grażyna KRUPIŃSKA. D-10 pokój 227 WYKŁAD 1 WSTĘP DO INFORMATYKI

Transkrypt:

HITCON CTF 2015 Rsabin HITCON to tajwańska konferencja poświęcona szeroko pojętej dziedzinie bezpieczeństwa informatycznego, a jednocześnie CTF odbywający się w trakcie konferencji. Jest ona organizowana przez czołowy zespół o tej samej nazwie. Przed właściwymi zawodami odbywają się kwalifikacje w Internecie, w których nagrodą dla najlepszych zespołów jest możliwość wzięcia udziału w finałach w Tajlandii. Podczas tegorocznych kwalifikacji zwyciężył zespół PPP, polska drużyna Dragon Sector zajęła 9., a nasza ekipa 22. miejsce. CTF HITCON CTF 2015 http://ctf.hitcon.org/ Waga CTFtime.org Liczba drużyn (z niezerową liczbą punktów) System punktacji zadań 50 (https://ctftime.org/event/245) 382 Liczba zadań 32 Podium Zadanie Rsabin (Crypto 314) O ZADANIU Od 1 punktu (bardzo proste) do 500 punktów (trudne). 1. PPP (Stany Zjednoczone) 5040 pkt. 2. Shellphish (Stany Zjednoczone) 4690 pkt. 3. 0ops (Chiny) 3840 pkt. Wybrane zadanie, które chcielibyśmy przedstawić, pochodzi z dziedziny współczesnej kryptografii matematycznej. W przeciwieństwie do historycznych szyfrów nie operujemy tutaj na znakach alfabetu, tylko na liczbowej reprezentacji szyfrowanych danych. Same operacje kodowania i dekodowania sprowadzają się do przekształceń z zakresu matematyki dyskretnej. Jako parametry wejściowe otrzymaliśmy zaszyfrowany ciąg oraz kod źródłowy użytego szyfru, od którego rozpoczniemy naszą analizę: from Crypto.Util.number import * p = getprime(157) q = getprime(157) n = p * q e = 31415926535897932384 flag = open('flag').read().strip() assert len(flag) == 50 m = int(flag.encode('hex'), 16) c = pow(m, e, n) print 'n =', n print 'e =', e print 'c =', c Kod rozpoczyna się od wylosowania dwóch 157-bitowych liczb pierwszych, które następnie są mnożone, a wynik mnożenia przypisany jest do zmiennej n. Następnie utworzona zostaje zmienna e, której przypisana zostaje pewna duża liczba. Jej bazą w tym przypadku jest liczba pi. 68 / 11. 2015. (42) /

Kolejnym krokiem jest wczytanie flagi i sprawdzenie, czy ma na pewno 50 znaków. Najpierw flaga przekształcana jest do postaci liczbowej. Konkretnie każdy znak tekstu jest zamieniany na odpowiadający mu bajt, a uzyskany ciąg binarny jest traktowany jako jedna wielka liczba. Dopiero później wykonane zostaje właściwe szyfrowanie. Szyfrowanie polega na potęgowaniu modularnym: tekst do zaszyfrowania zostaje podniesiony do potęgi o wykładniku e, a reszta z dzielenia wyniku tej operacji przez liczbę n stanowi zaszyfrowane dane: ciphertext = plaintext e (mod n) Osoby mające pewne doświadczenie z popularnymi algorytmami kryptografii asymetrycznej powinny w tym momencie rozpoznać schemat szyfrowania RSA. Niemniej o ile sama operacja kodowania danych jest tożsama z tą wykorzystywaną w RSA, nie oznacza to jeszcze, że właśnie z tym algorytmem mamy do czynienia. Istnieją pewne dodatkowe warunki, które muszą zostać spełnione, aby RSA działało w sposób poprawny. W celu ich weryfikacji musimy przyjrzeć się bliżej danym, na których operował otrzymany algorytm: n = 2031336531987564658292475884026049610894100948247062678905298 6536609343163264552626895564532307 e = 31415926535897932384 c = 1910360250834240190112226927966411418274899957728697203812307 3823905007006697188423804611222902 Znamy liczbę n, czyli iloczyn dwóch 157-bitowych liczb pierwszych, jak również liczbę e, czyli wykładnik szyfrowania, a także liczbę c, czyli zaszyfrowaną flagę. Nasze e jest dobrane dość nietypowo, gdyż, ze względu na pewne szczególne własności, zwykle jest to liczba 65537. Zakładamy chwilowo, że faktycznie mamy do czynienia z algorytmem RSA, więc naszym pierwszym krokiem jest faktoryzacja liczby n w celu uzyskania liczb pierwszych użytych w algorytmie. Liczba n jest na tyle mała, że można dokonać jej faktoryzacji, np. za pomocą narzędzia yafu, albo znaleźć w serwisie factordb.com: p = 123722643358410276082662590855480232574295213977 q = 164184701914508585475304431352949988726937945291 Istnieją dwa podstawowe ograniczenia nałożone przez algorytm RSA: 1. Funkcja Eulera (tocjent) φ(n) musi być względnie pierwsza z wykładnikiem szyfrowania e: φ(n) = φ(p) φ(q) = (p 1)(q 1) gcd(φ(n), e) = 1 RSA I KRYPTOSYSTEM RABINA Problemem brakujących bajtów zajmiemy się na końcu, a rozpoczniemy od pokonania samego szyfru. Zanim przejdziemy do przedstawienia algorytmu łamania szyfru, przytoczymy pewne definicje, które będą niezbędne do zrozumienia zastosowanych później metod. Jak wspomnieliśmy w poprzednim paragrafie, operacja szyfrowania algorytmem RSA to: ciphertext = plainttexte (mod n) Parę liczb (e,n) nazywamy kluczem publicznym. Taki klucz możemy udostępnić osobom, z którymi chcemy się komunikować. Przy odpowiednio dobranych parametrach RSA nie ma potrzeby chronić tego klucza: może być publicznie dostępny. Dane zaszyfrowane za jego pomocą mogą zostać odczytane tylko przez posiadacza klucza prywatnego. Operacja dekodowania wygląda identycznie jak kodowanie, z tą różnicą, że wykładnikiem jest liczba d nazywana też wykładnikiem deszyfrującym. Liczba d musi spełniać zależność: d e 1 mod (φ (n)) dzięki czemu: (plaintext e ) d (mod n) = plaintext gdzie: plaintext e (mod n) = ciphertext więc: ciphertext d (mod n) = plaintext Wartość wykładnika d możemy wyliczyć bezpośrednio, stosując Rozszerzony Algorytm Euklidesa egcd przy założeniu, że znamy rozkład liczby n na czynniki pierwsze. Parę liczb (d, n) nazywamy kluczem prywatnym i powinniśmy go chronić i nie udostępniać nikomu. Każdy posiadacz klucza prywatnego może deszyfrować wiadomości zakodowane kluczem publicznym. Warto zauważyć, że liczby pierwsze wybrane przez autorów zadania nie są dobrymi kandydatami na parametry algorytmu RSA, ponieważ są za małe. Bezpieczeństwo RSA opiera się o trudny obliczeniowo problem faktoryzacji liczb, ale dla odpowiednio małych danych można z powodzeniem rozkładać liczby na czynniki pierwsze. W związku z tym dla małych wartości p oraz q liczba n jest na tyle mała, że można ją faktoryzować. W ten sposób można uzyskać wykładnik d, a tym samym klucz prywatny, mając do dyspozycji jedynie klucz publiczny. W związku z tym o ile sam algorytm RSA jest bezpieczny, niepoprawne dobranie rozmiaru klucza może skutkować jego złamaniem. Niestety jak zauważyliśmy podczas analizy danych dla algorytmu, w naszym przypadku liczba φ(n) nie jest względnie pierwsza z e, więc nie istnieje liczba d, którą moglibyśmy wykorzystać do deszyfrowania. Jednak jeśli zapiszemy naszą operację szyfrowana w nieco inny sposób, możemy zauważyć dość ciekawą własność. Przyjmijmy na chwilę oznaczenie e = e' 2 5. Wtedy szyfrowanie możemy zapisać jako: Gdzie gcd oznacza funkcję greatest common divisor, czyli największy wspólny dzielnik. 2. Liczba n, względem której liczymy operację reszty z dzielenia, musi być odpowiednio duża: musi mieć przynajmniej tyle bajtów, ile wiadomość, którą szyfrujemy. ciphertext = plaintext e (mod n) = plaintext e' 25 (mod n) Jednocześnie liczba e nie posiada w swoim rozkładzie żadnych 2, więc jest względnie pierwsza z φ(n) i dla e istnieje liczba d, która potrafiłaby dokonać operacji deszyfrowania wiadomości plaintext zaszyfrowanej jako: Niestety, w opisywanym zadaniu nie jest spełniony żaden z podanych warunków. Największy wspólny dzielnik funkcji Eulera oraz wykładnika szyfrowania to 2 4 = 16, ponieważ liczba e ma w swoim rozkładzie na czynniki pierwsze 2 5 = 32. Dodatkowo liczba n ma zaledwie niecałe 40 bajtów, podczas gdy z kodu wynika, że flaga ma dokładnie 50 bajtów. Z naszej krótkiej analizy wynika, że nie jest to klasyczne RSA i nie możemy wprost zastosować deszyfrowania przy pomocy tego algorytmu w celu uzyskania flagi. ciphertext = plaintext' e' (mod n) Niemniej wynik deszyfrowania dałby nam jedynie wartość: plaintext' = plaintext 25 (mod n) Z pomocą przychodzi nam tutaj kryptosystem Rabina, który jest podobny do RSA, aczkolwiek znacznie mniej popularny. Stąd też zapewne nazwa zadania Rsabin = RSA + Rabin. Kryptosystem Rabina także szyfruje dane za pomocą 70 / 11. 2015. (42) /

HITCON CTF 2015 RSABIN modularnego potęgowania, jednak w jego przypadku wykładnikiem potęgi zawsze jest liczba 2. Oznacza to, że algorytm Rabina wykonuje operację: ciphertext = plaintext 2 (mod n) Operacja deszyfrowania opiera się na dość złożonej operacji pierwiastkowania modularnego. Dodatkowo jest to operacja niejednoznaczna, ponieważ pierwiastkowanie może dać nam cztery potencjalne rozwiązania. Wynika z tego, że stosując algorytm Rabina, musimy być w stanie jednoznacznie odróżnić poprawnie zdeszyfrowane dane od pozostałych, błędnych rozwiązań, które po zaszyfrowaniu dają identyczny wynik (ciphertext). SPOSÓB NA ZŁAMANIE SZYFRU Oznaczmy na chwilę wprowadzony wcześniej plaintext jako: plaintext' = plaintext 25 (mod n) = (plaintext 24 ) 2 (mod n) Zaczynamy algorytm z jednym zaszyfrowanym ciągiem odczytanym bezpośrednio z danych do zadania. Następnie pięciokrotnie dla każdego zaszyfrowanego ciągu wykonujemy deszyfrowanie algorytmem Rabina. Wszystkie wyniki tego kroku stanowią listę zaszyfrowanych ciągów dla kolejnej iteracji. Ciągi przechowujemy w zbiorze, ponieważ nie wszystkie muszą być unikalne, a nie ma sensu wielokrotnie pierwiastkować tych samych danych. Drugim krokiem jest przeprowadzenie dekodowania wszystkich uzyskanych w poprzednim kroku ciągów za pomocą RSA: potential_plaintext = [] for potential_rsa_ciphertext in partially_decoded_ciphertexts: pt = pow(potential_rsa_ciphertext, d, n) potential_plaintext.append(pt) print(potential_plaintext) Gdzie wykładnik deszyfrujący d został wyliczony jako: d = egcd(e_prim, (p-1)*(q-1)) A plaintext 24 (mod n) oznaczmy jako plaintext i uzyskujemy wtedy: plaintext' = plaintext'' 2 (mod n) Czyli postać identyczną jak w algorytmie Rabina! Wracając do pierwotnych oznaczeń, mamy: ciphertext = plaintext e' 25 (mod n) i jeśli wprowadzimy oznaczenie: x = plaintext e' 25 (mod n) uzyskujemy: ciphertext = x 2 (mod n) Równanie tej postaci możemy z powodzeniem deszyfrować za pomocą modularnego pierwiastkowania z algorytmu Rabina. Jednokrotne pierwiastkowanie da nam cztery potencjalne wartości x. Jak nietrudno zauważyć, możemy zastosować identyczne rozumowanie, aby pozbyć się kolejnych 2 z wykładnika. Mając potencjalne wartości dla: x = plaintext e' 24 (mod n) możemy oznaczyć: x' = plaintext e' 23 (mod n) uzyskując: x = x 2 (mod n) które znów możemy pierwiastkować. Każdorazowe pierwiastkowanie usuwa jedną 2 z wykładnika, więc po wykonaniu operacji pierwiastkowania 5 razy uzyskamy potencjalne wartości dla plaintext e' (mod n), które potrafimy zdekodować za pomocą klasycznego RSA. Każda operacja pierwiastkowania może dać nam do 4 możliwych wartości, więc pesymistycznie uzyskamy 4 5 = (2 2 ) 5 = 2 10 = 1024 wartości do zdekodowania za pomocą RSA. Musimy koniecznie pamiętać, że wykładnik szyfrujący e uległ zmianie i będziemy liczyć d dla wykładnika e' = e/2 5 = e/32 = 981747704246810387 IMPLEMENTACJA Pierwszym krokiem łamania szyfru jest przeprowadzenie pięciokrotnego pierwiastkowania lub, jak można to inaczej rozumieć pięciokrotnego deszyfrowania algorytmu Rabina: W wyniku wykonania powyższego kodu uzyskujemy 16 potencjalnych wartości dla tekstu jawnego. ODZYSKIWANIE BRAKUJĄCYCH BAJTÓW Tak więc mamy 16 liczb, z których 15 to nieprawidłowe rezultaty, wynikające z niejednoznaczności modularnego pierwiastkowania. Wiemy również, że jedna z nich jest zdeszyfrowaną flagą. Oznaczmy tę liczbę jako M. Wyrażając to jako pseudokod, wiemy, że zachodzi następująca zależność: M = rsadecrypt(rsaencrypt(flag)); W ten sposób zdeszyfrowaliśmy flagę, ale czy to już koniec zadania? Niestety, twórcy zadania przygotowali na nas jeszcze jedną pułapkę. W RSA wszystkie operacje są wykonywane modulo pewne n. Natomiast n, które zostało użyte do zaszyfrowania flagi, ma niecałe 40 bajtów. Jednocześnie w dostarczonym kodzie widzimy: assert len(flag) == 50 To bardzo bezpośrednia wiadomość od autorów zadania: flaga ma 50 bajtów. Tak więc M wcale nie jest flagą jest flagą modulo n, czyli w zapisie matematycznym: flag M (mod n) Co możemy w tym momencie zrobić? Możemy spróbować zgadnąć za pomocą metody bruteforce brakujące bajty, przekształcając poprzednie równanie modularne (z definicji) do takiej postaci: flag = M + n k (dla pewnego k będącego liczbą całkowitą) Czyli istnieje takie k, że flag = M + n k Naiwny bruteforce wyglądałby tak: def is_ascii_string(string): return all(32 <= ord(c) <= 128 for c in string) rabin = Rabin(p, q) partially_decoded_ciphertexts = [ciphertext] for i in range(5): new_partially_decoded_ciphertexts = [] for ciphertext_partial in partially_decoded_ciphertexts: new_ciphertexts_partial = rabin.decrypt(ciphertext_partial) new_partially_decoded_ciphertexts. extend(list(new_ciphertexts_partial)) partially_decoded_ciphertexts = set(new_partially_decoded_ciphertexts) def string_to_long(string): return int(string.encode('hex'), 16) def naive_bruteforce(ct, n): k = 0 while True: possible_flag = ct + n * k flag_string = long_to_bytes(possible_flag) if is_ascii_string(flag_string): print possible_flag / www.programistamag.pl / 71

Wykorzystujemy tutaj fakt, że flaga zmieniona na tekst składa się z samych drukowalnych znaków ascii (sprawdza to funkcja is_ascii_string). ŰŰ ŰŰ Niestety, pojawiają się dwa duże problemy z taką funkcją: wartości do sprawdzenia jest tak dużo, że prosta heurystyka is_ ascii_string da bardzo wiele false-positive ów. wartości do sprawdzenia jest o wiele za dużo jak na bruteforce 10 bajtów to 256^10 = 2^80 możliwości. Na szczęście wiemy o fladze coś jeszcze, a mianowicie, że zaczyna się od 'hitcon{', a kończy na '}'. Jeśli będziemy w stanie wykorzystać tę wiedzę, zredukujemy przestrzeń poszukiwań z dziesięciu do dwóch bajtów. Wystarczy wtedy bruteforce ować trzy bajty (trzy zamiast dwóch, bo n brakuje kilku bitów do równych 40 bajtów, więc musimy je też bruteforce ować). Kod jest trochę bardziej zagmatwany niż wzory powyżej bo działa na liczbach zapisanych w podstawie 256, zamiast znanego nam systemu dziesiętnego (bajty to inaczej liczby zapisane w podstawie 256), oraz zamiast dzielić bezpośrednio, musimy mnożyć przez odwrotność modularną. Przykład działania: >>> n = 2**50-1 >>> flag = string_to_long('flag{test}') % n >>> long_to_bytes(flag) '\x03{t\x7f\x0e\x8c\xd6' # flaga mod n - śmieci >>> flag_no_prefix = cut_prefix(flag, 10, 'flag{', n) >>> long_to_bytes(flag_no_prefix) 'test}' W tym momencie możemy połączyć wszystkie kroki i zaimplementować bruteforce dla ostatecznej flagi: import itertools Okazuje się, że można dość łatwo odciąć ten prefiks i sufiks flagi za pomocą odrobiny arytmetyki modularnej. Spróbujmy najpierw poeksperymentować na prostszym przykładzie, dla takich oto danych: plaintext = 732926 # oryginalna wiadomość n = 543 # modulo m = plaintext % n # 419 prefiks = 73 sufiks = 26 (każda litera reprezentuje dowolną cyfrę, konkretne liczby podstawimy później). W tym przypadku znamy prefiks (73) tekstu jawnego oraz jego sufiks (26). Nie znamy natomiast środka (29), i to do niego chcemy się dostać za pomocą operacji matematycznych. Zacznijmy od prostszej części, czyli usuwania prefiksu z wiadomości. Jak zrobilibyśmy w przypadku znanych liczb? Np. jak pozbyć się pierwszych dwóch cyfr z liczby 123456? Oczywiście wystarczy odjąć 120000. Analogicznie dla naszych danych odjąć 730000: m plaintext (mod n) m 732926 (mod n) 30000 m 7 732926 730000 (mod n) m 730000 2926 (mod n) Ponieważ m jest dane, a 730000 możemy wyliczyć z prefiksu (który jest dany), jesteśmy też w stanie policzyć prawą część równości. Świetnie, potrafimy już pozbyć się prefiksu. Co z sufiksem? Bardzo podobnie odejmujemy go, a następnie dzielimy wynik przez odpowiednią potęgę dziesiątki, żeby usunąć zera na końcu: m plaintext (mod n) m 732926 (mod n) (m 26)/100 (732926 26)/100 (mod n) (m 26)/100 7329 (mod n) def bruteforce_flag(ct, n): flag_len = 50 printable = map(chr, range(32, 128)) # zgadujemy trzy bajty for c1, c2, c3 in itertools.product(printable, repeat=3): # obcinamy prefiks flag = cut_prefix(ct, flag_len, 'hitcon{'+c1+c2+c3, n) # obcinamy sufiks flag = cut_suffix(flag, '}', n) # zamieniamy liczbę na tekst flag_string = long_to_bytes(flag) # i jeśli jest printowalnym napisem... if is_ascii_string(flag_string): # to może być flaga - wypisujemy print c1+c2+c3+flag_string Pozostaje przetestować wszystkie możliwości na flagę: for ciphertext in possible_flags: bruteforce_flag(ciphertext, n) Liczenie tego zajęło na naszym komputerze jakieś 30 sekund na literę, więc już po kilku minutach otrzymaliśmy na ekranie flagę: Congratz~~! Let's eat an apple pi <3.14159 Trzeba dodać do niej jeszcze prefiks i sufiks, których wcześniej się pozbyliśmy: hitcon{congratz~~! Let's eat an apple pi <3.14159} PODSUMOWANIE Zadanie, które opisaliśmy, było naszym zdaniem jednym z ciekawszych problemów z dziedziny kryptografii w ostatnim czasie. Kluczem do rozwiązania zadania było zaobserwowanie związku łączącego algorytmy RSA i Rabina oraz to, jak je wykorzystać w postawionym problemie, w czym pomógł trochę tytuł zadania. Pod koniec musieliśmy za to odkurzyć trochę arytmetykę modularną, żeby móc efektywnie bruteforce ować brakujący fragment flagi. Jarosław Jedynak, Stanisław Podgórski Mając sposób, wystarczy teraz zaimplementować go w Pythonie: def string_to_long(string): return int(string.encode('hex'), 16) def cut_prefix(num, flag_len, prefix, m): return (num - string_to_long(prefix) * 256**(flag_len - len(prefix))) % m def cut_suffix(num, suffix, m): return ((num - string_to_long(suffix)) * modinv(256**len(suffix), m)) % m O drużynie Rozwiązanie zadania Rsabin zostało nadesłane przez p4, zespół CTFowy, który sprawia, że nawet smoki drżą (twierdzą, że to ze śmiechu, ale my swoje wiemy), a korzenie chowają się głęboko w ziemi. W połowie listopada tego roku zespół p4 połączył się z Amber Chamber innym wysoko plasowanym polskim zespołem. PP https://ctftime.org/team/5152 72 / 11. 2015. (42) /

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres