JAVA RSAES-OAEP攻击

Question

我需要使用 unix 可执行 oracle 和 ASCII 格式的质询文件来实现 RSAES-OAEP PKCS#1 V2.1 攻击。挑战 ASCII 文件的格式为

{n}
{e}
{c}

其中 N(整数)是 1024 位模数，e(整数)是公共(public)指数，c(整数)是八位字节串)是一些未知的RSAES-OAEP加密对应的密文公钥 (N, e) 下的明文 m(八位字节字符串)。注意明文是ASCII文本(即，每个八位字节都是一个 ASCII 编码字符)，并且 RSAES-OAEP 加密将使用 SHA-1 作为散列函数和空标签(即，在所有情况下标签都是八位字节长度为零的字符串)。该可执行文件代表 RSAES-OAEP 解密预言机:从 BASH 执行时shell 使用命令

bash$ ./ USER < USER . challenge

它尝试使用私钥 (N, d) 解密从 stdin 读取的密文。请注意，N 是从 stdin 读取(即从挑战中读取)，但 d (整数)是嵌入的私有(private)指数进入预言机(即，您无权访问它)。

挑战文件如下:

99046A2DB3D185D6D2728E799D66AC44F10DDAEE1C0A1AC5D7F34F04EDE17B96A5B486D95D927AA9B58FC91865DBF3A1685141345CC31B92E13F06E8212BAB22529F7D06B503AAFEEB89800E12EABA50C3F3BBE86F5966A88CCCF5C843281F8B98DF97A3111458FCA89B8085A96AE68EAEBAE270831D41C956159B81D29503
80A3C4043F940BE6AC16B11A0A77016DBA96B0239311AF182DD70E214E07E7DF3523CE1E269B176A3AAA0BA8F02C59262F693D6A248F22F2D561ED7ECC3CB9ABD0FE7B7393FA0A16C4D07181EEF6E27D97F48B83B90C58F51FD40DCDA71EF5E3C3E97D1697DC8E26B694B5CAFE59E427B12EE82A93064C81AAB74431F3A735
57D808889DE1417235C790CB7742EB76E537F55FD49941EBC862681735733F8BB095EDBB3C0DA44AB8F1176E69A61BBD3F0D31EB997071758A5DD850730A1D171E9EC92788EBA358974CE521537EE4A809BF1607D04EFD4A407866970981B88F44D5260D25C9E8864D5FC2AFB2CB90994DD1934BCEA728B38A00D4712AE0EE

关于如何进行这次攻击有什么想法吗？!

谢谢有人指导我吗？!!!!!!!!!

Answer 1

您可以尝试的第一件事是确定是否可以通过以下方式应用攻击J. Manger，来自论文“RSA 最优非对称加密的选择密文攻击”填充 (OAEP) 在 PKCS #1 v2.0 中标准化。”Crypto 2001。

这意味着你必须找出你可以从预言机获得什么样的信息。IE。选择两个任意整数m0、m1，使得m1是小于n的1024位整数m0 的长度为 1023 位或更少。如果将 m0^e mod n 和 m1^e mod n 传递给预言机，您会得到不同的响应吗？如果是这样，那么您也许可以应用上面论文中的攻击。否则你将不得不在解密预言机中寻找另一个缺陷。

<小时/>

另一种可能有效的方法是尝试修改模数 n。如果预言机确实从用户提供的输入中读取模数，那么看起来修改模数应该有效，并且攻击变得非常容易。我无法访问预言机的实现，所以我只能猜测可能发生的情况。如果您可以检查任何选择的n',c' c'^d mod n' 是否是有效的 OAEP 编码明文，那么解密原始消息并不是您所能做的全部，事实上您还可以恢复 d ，从而计算原始 RSA 模数。

(此外，这确实是一个非常好的谜题，所以我不想因为给有关如何解决该问题的分步说明。)