RSA加解密专题 - 公私钥格式相关攻击
pem 格式的文件通常用于数字证书认证机构(Certificate Authorities,CA),其文件形式主要为 base64 编码的文件,头尾有类似于——-BEGIN PUBLIC KEY——-和——-END PUBLIC KEY——-的头尾标记
本文的目的就是如何从 .pem 格式的证书中,获取公钥、私钥信息。在 RSA 加密中,实际上公钥和私钥都是由一系列数字组成的,这些数字在.pem格式的证书中以特定的格式存储。通过解析这些数字,我们可以获取到公钥和私钥的相关信息,从而进行加密和解密操作。
PEM文件生成与使用 🥳
在python中,可以通过 from Crypto.PublicKey import RSA 生成想要的公私钥文件。
生成公钥文件的代码如下:
from Crypto.PublicKey import RSA
from Crypto.Util.number import *
p,q = getPrime(512),getPrime(512)
n = p * q
e = 0x10001
pub = RSA.construct((n,e))
with open('out.pem','wb') as f:
f.write(pub.exportKey('PEM'))
with open('out.pem','rb') as f:
print(f.read().decode())
'''
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCuRPouMRTcLWPBEUlhjCrZ6MNQ
rSy29BrHjH4+lGMykB23azPtT9fk7IsEFXoodm6tsPL8kheJ6cP+0WPldlQOw/K3
c9LUGzeCCAhNJuBjUoeW32ruE2HS7RoIF6vkP36zLs167ZZMK7Fg0cqW6VNXoJHT
zaKdqysBe+3W1VHl6QIDAQAB
-----END PUBLIC KEY-----
'''
生成私钥文件的代码如下:
from Crypto.PublicKey import RSA
from Crypto.Util.number import *
p,q = getPrime(512),getPrime(512)
n = p * q
e = 0x10001
d = inverse(e,(p - 1) * (q - 1))
pub = RSA.construct((n,e,d,p,q))
with open('out.pem','wb') as f:
f.write(pub.exportKey('PEM'))
with open('out.pem','rb') as f:
print(f.read().decode())
'''
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
'''
如果是生成一组随机的公私钥文件,可以直接直接使用 RSA.generate(bits),其中的 bits 参数为生成的公钥文件中n的二进制位数,且 bits>=1024,默认为 1024。
from Crypto.PublicKey import RSA
from Crypto.Util.number import *
key = RSA.generate(1024)
print(key.publickey)
with open('out.pem','wb') as f:
f.write(key.exportKey('PEM'))
with open('out.pem','rb') as f:
print(f.read().decode())
'''
<bound method RsaKey.public_key of RsaKey(n=99929675131146107818047790971049703803161677332600984800831117021637597471437271599719384035180982326470249457001083005224626356572009901255841391966616564984242588913592789383087326511196585443834216472384770224810255153922375944881215835774119177009570247468911673932973239275741131654695253944455708641727, e=65537, d=27501740780061900509028777360107084282858928440567277451824014559115713670042546183199393779857817534085793587304881725189343016621314014739780326627796196251470626677550096120689732366473717193895036548926100990548453802714993577259273117223098888966957225092204230317866243049867167880710514827901086931493, p=9959145719455053414348729655771312861460726396890001110536788452571591154277537325754067618769136991544158484849077735057792084414015625760536769751415507, q=10033960536990122517580769502852456118641921945920255759007869111269242067226468943041901092934902353013133963062909073461567977701122665256982872188799461, u=2111771661302217183343493746406805348965531581492223651147849337466575464897027597797323383307376291792334461891498947953036261381547003770335520720819326)>
-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQCOTfkFWAc5UsCT07Y4bU9jKfpT5pt+ScHFIk/39jsE8yDHSFAo
pcQMlJ6GKRYfU7F/3xbY2udbvXBj9jJVLBmh3ORbZT06xwYDeqhvE2kJB+QfGk+J
POqzjCkFiDorxMUzWEq4us8nXmkv6WsrJMGSQZ0SQ7c29N9M0/8K622JvwIDAQAB
AoGAJyntaVuXLV8JcgW3piLrUNLKOpICZEi/Q9ZUJN2G069n64CK0wz//ihe0nR3
SqrZdGQ84PSp7LUfu9sTch5fdSQLH/OAQtVf/rwWuwulm8wS0njrU9xxQQWrwZoe
L9W7DlBWf5+PbmYdgyoLIwL3+wskvxiWswlvVcSR7RkXGiUCQQC+J0pN+1W2U3qe
a8rhAwX7XMSXoblFuqfBfH/duLZvseEEjtuTcj0ISlJgts2aZT1J8yHnllUoiqAu
WQPUK/rTAkEAv5T6OwPHj+4J/4WzQgJTN89Xj9ihR45wpr8Rr6WPXUCgXTe82UFz
ny68nIzALvKrLTf58yu8/E5wy2+SejBJ5QJASNUnwsK3y8QhvTgwVwsfaW3Y5vNM
0YZy5stW9offaNzLAUHunIUvF1PQRbb+/Vo1pXN40wljyMmAHQB/VO8bfQJBAIGQ
nVKAEdyzHavjngHMVL9vyEYOObSNDn6Wxb1GeJiWdl3UrjE35JwJHaG6Rtb5Yu7n
5nCgaeUwn3PV9vgP5EkCQQCWIiD5b8Qb5Mma8/iDNhchmRkosUug/iCBeqNh3nJc
txZnUy1fjc0toXxJY3ZBzTl3TNsk8p8x4H9y/NXoDtvu
-----END RSA PRIVATE KEY-----
'''
在 python 中,利用公私钥文件,通过 PKCS1_OAEP 算法填充可以实现加解密,例如:
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
from Crypto.Util.number import *
flag = b'This_is_a_message_qwer'
key = RSA.generate(1024)
pub = key.publickey().exportKey()
public_key = RSA.importKey(pub)
pk = PKCS1_OAEP.new(public_key)
enc = pk.encrypt(flag)
print(enc)
priv = key.exportKey()
priv_key = RSA.importKey(priv)
sk = PKCS1_OAEP.new(priv_key)
msg = sk.decrypt(enc)
print(msg)
# b'\xd1/Ou\xae\xba]z\xc0\t\xc6\xd7\xc4f\x13\x96\x9a\xeb5\xdb8\x92\xc7\x19\x12y\x9c\x18\xf7A\x9d\xe9\n&=<\x16\x07\xefz\xad2-\x983\xec\x932\xcb\xf0\x87~\xdf\xc1\xd2\x9f\xd7@\\H\x1f\x87#\xf3\x84\xa0\xfc\xd9\xcfV$>\xd7Of\xe6G\x06\xcb\x91\xa1\xcc\x0c\xad\xc2\x9a\xad\xe46\x91x\xad\xa51\xbb\xfb\xc1E\x93~e%\xd1~\xf8l\x19n\x88\xff\xac^\xca\x8fs*}\xb9c0\xc0N\xf2\xfa\xa4\xd8\x18g'
# b'This_is_a_message_qwer'
PEM文件解析 🤠
在文件进行 base64 解码后,可以看到 pem 文件的结构(专门用于 RSA 私钥)如下:
RSAPrivateKey ::= SEQUENCE {
version Version, 0表示两个素数的RSA 1表示多素数的RSA
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p-1) dp
exponent2 INTEGER, -- d mod (q-1) dq
coefficient INTEGER, -- (inverse of q) mod p
otherPrimeInfos OtherPrimeInfos OPTIONAL
}
十六进制格式如下:
表示头 30
表示长度 82 xx xx
版本信息 02 01 00
n 02 xx xx
e 02 xx
d 02 xx xx
p 02 xx
q 02 xx
dp 02 xx
dq 02 xx
inv 02 xx
如果数据长度超过 128 字节,则长度部分会多出两个字节表示实际长度
对于完整的 pem 格式文件,我们可以使用 openssl 工具进行解析,例如:
读公钥 openssl rsa -pubin -text -modulus -in 1.pem
读私钥 openssl rsa -in 1.pem -text
当然,对于残缺的 pem 格式文件,我们也可以 base64 解码后,通过分析上述结构,手动解析出其中的数字信息,这也是我们重点讲解的内容。
残缺私钥解析 👻
我们从上面的结构知道,我们要的数据都是以 02 开头的整数类型,后面跟着长度和数据内容。对于残缺的 pem 格式文件,我们可以通过分析这些整数类型的数据,来获取我们需要的信息。
残缺私钥解析例题
Ciphertext = 0x6d482cbbc60b146ce064754910f5ce845a6eedeff2a20589b97c342677219c324debe4fc7324106bbeccc633ec819383f019856e700f027a39987500873a5700491f2828df4d5c01d179febac4f7589ed6846701e4d78daea6265df0fe1853e43984a3760b5257144842f9f4d316c3d314dfedb2ded08b90b957bf040258400a
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
在这个例题中,我们可以看到,私钥文件中的一些数据残缺了,不过我们可以通过解码后的 02 头直接解析,因为数据的顺序都是严格按照上面的结构来的。
解析代码示例:
from base64 import b64decode
import binascii
s = """
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
"""
s = b64decode(s)
print(binascii.hexlify(s))
"""手动分行解析,注意02后面的长度部分,这是我们确定数据长度的方式,如果长度超过128字节,则会多出两个字节表示实际长度
3082027b
020100
028181 #n
009d034fa9ab29cabdcdff047e688e751704c756cbd2f38bd4f049a3a0889ea4cbffd006b58608d6a7f7c09835ca0abb1db23ad1ca223c54acf87e2dd823996fbfa5a58f272ae7a10c394aa0fe16fa8d4e31bb024bf1f93517c8c7e52fdaa876b58111b97fc66374d506e2be8dfaf94d6614307ee8b10d93fdc1c165c7563d03bd
0221 #e
00beed55cdffde31057bea5a58a3684d5fbed81f03d53fa28bb658b32de4535c8d
028180 #d
0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000009
0241 #p
0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
0241 #q
0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000003
0240 #dp
26b285848e6997fa01376059a8b4dff8d69c1aa4c5af399b8bb45515a378de45d85eed75bab5f22d39dc7c95c1a5186d18576c2f7d638acc21898469f728d3fb
0241 #dq
0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000003
0241 #inv
0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
"""
通过上述代码,我们可以成功解析出私钥中的各个参数,我们发现就是一个 $d_p$ 泄露的情况,利用这个参数,我们可以通过以下代码计算出 $p$ 和 $q$ 的值:
from Crypto.Util.number import long_to_bytes, bytes_to_long, inverse, GCD
from secret import m
n_hex = "0x9d034fa9ab29cabdcdff047e688e751704c756cbd2f38bd4f049a3a0889ea4cbffd006b58608d6a7f7c09835ca0abb1db23ad1ca223c54acf87e2dd823996fbfa5a58f272ae7a10c394aa0fe16fa8d4e31bb024bf1f93517c8c7e52fdaa876b58111b97fc66374d506e2be8dfaf94d6614307ee8b10d93fdc1c165c7563d03bd"
n = int(n_hex,16)
e_hex = "0xbeed55cdffde31057bea5a58a3684d5fbed81f03d53fa28bb658b32de4535c8d"
e = int(e_hex,16)
c_hex = "0x6d482cbbc60b146ce064754910f5ce845a6eedeff2a20589b97c342677219c324debe4fc7324106bbeccc633ec819383f019856e700f027a39987500873a5700491f2828df4d5c01d179febac4f7589ed6846701e4d78daea6265df0fe1853e43984a3760b5257144842f9f4d316c3d314dfedb2ded08b90b957bf040258400a"
c = int(c_hex,16)
dp_hex = "0x26b285848e6997fa01376059a8b4dff8d69c1aa4c5af399b8bb45515a378de45d85eed75bab5f22d39dc7c95c1a5186d18576c2f7d638acc21898469f728d3fb"
dp = int(dp_hex,16)
p = GCD((pow(2,e*dp,n) -2) ,n)
q = n // p
if n == p * q and p > 1 and q > 1:
print("成功分解n:")
print("p =", p)
print("q =", q)
phi = (p - 1) * (q - 1)
d = inverse(e, phi)
m = pow(c, d, n)
print(long_to_bytes(m))
# b'flag{u_know_the_pem_structure}'
上一章:RSA加解密专题 - 私钥 d 相关攻击 👈
下一章:RSA加解密专题 - Coppersmith 相关攻击一 👈
回到开始:关于我 👈
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Alice and Bobの神秘小屋!
相关推荐
2026-03-02
RSA加解密专题 - 公钥指数相关攻击
在实际应用中,攻击者可能会利用一些特定的攻击方法来破解RSA加密,尤其是当公钥指数选择不当时。 本文将介绍一些与 RSA 公钥指数相关的攻击方法,包括常见的攻击手段如小公钥攻击、共模攻击等。 共模攻击 😝对于同一个模数 $n$,用于加密同一个 $m$,但是用不同 $e$ 加密两次 \begin{align*} m^{e_1} \equiv c_1 \mod n \\ m^{e_2} \equiv c_2 \mod n \end{align*}使用裴蜀定理可以破解,构造 r e_1 + s e_2 = gcd(e_1,e_2)则由 c_{1}^r \cdot c_{2}^s \equiv m^{er_1 + se_2} \mod n从而绕过私钥d解密 共模攻击例题共模攻击例题下载 from Crypto.Util.number import * from secret import m n=22708078815885011462462049064339185898712439277226831073457888403129378547350292420267016551819...
2026-03-13
RSA加解密专题 - 预言机相关攻击
在前面几章中,我们已经介绍了RSA加解密的基本原理和一些相关攻击方法。在本章中,我们将继续深入探讨RSA加解密中的预言机相关攻击。这些攻击利用了预言机(Oracle)的功能来推断出明文或私钥,从而威胁到RSA的安全性。 选择明密文相关攻击 😆这种攻击适用于 oracle(预言机)攻击场景,一般输入明文,返回密文,并且输入的明文中不能包含 flag 还有输入密文,返回明文,并且返回的明文中不能包含flag。 首先,我们选择明文攻击,模数一定是和偶数互质的,所以我们直接选择加密 $2$, $4$, $8$,然后可以知道: \begin{align*} c_1 \equiv 2^e \mod n \\ c_2 \equiv 4^e \mod n \\ c_3 \equiv 8^e \mod n \end{align*}由于我们知道自己输入的明文,所以我们可以知道 $c_1$、$c_2$、$c_3$ 之间的关系: \begin{align*} c_{2}^{2} \equiv c_{4} \mod n \\ c_{2}^{3} \equiv c_{8} \mod n \end{alig...
2026-03-02
RSA加解密专题 - 模数相关攻击
当你在 CTF 赛场遇到 RSA 题型时,模数相关的攻击手法⚔️往往是破解的关键。无论是共模攻击、模重复攻击,还是模数分解的相关漏洞,这些都是 RSA 加解密中常见且高频出现的题型。掌握这些攻击手法,不仅能让你在 CTF 赛场上如鱼得水,还能加深你对 RSA 加解密原理的理解。 暴力分解模数 🥳在 $N$ 的比特位数小于 512 的时候,可以采用大整数分解的策略获取 $p$ 和 $q$。一般来说,使用一些高效的分解工具(如 YAFU、msieve、CADO-NFS 等)可以在合理的时间内完成分解,获取 $p$ 和 $q$。 暴力分解模数例题暴力分解模数例题下载 from Crypto.Util.number import * from secret import M p = getPrime(56) q = getPrime(56) e = 65537 n = p * q long_M = long_to_bytes(M.encode()) C = pow(long_M, e, n) print(C) print(n) #n: 3211733906383171840011...
2026-03-01
RSA加解密专题 - 前言
当你在 CTF 赛场拆解 RSA 密文🧩、爆破私钥参数🔑、或是还原模分解的隐藏信息📝时,那些看似毫无头绪的密文串、复杂的数论参数,背后其实是 RSA 加解密的核心逻辑在层层嵌套⚙️。 欢迎来到《RSA 加解密专题》的 CTF 攻坚工坊!这里没有晦涩的理论空谈(真的不绕弯😜),只有一把把破解 RSA 题型的实战密钥🗝️。 在 CTF 密码学的赛场上,RSA 绝对是出场率拉满的 “常驻嘉宾”🥇,而数论基础是拆解它的利刃🔪,模运算、大素数分解是攻破它的关键招式,加解密的核心逻辑则是破解各类变种题型的底层密码。本系列专题将带你深耕 RSA 加解密的全维度知识,从最基础的 RSA 原理、密钥生成与加解密流程,到 CTF 中高频出现的低加密指数、模重复、私钥泄露、共模攻击等经典题型,再到进阶的多素数 RSA、盲签名、CRT 加速破解等复杂场景,我们会一步步揭开 RSA 在 CTF 题型中的出题套路与破解技巧🎭。 别担心,我会用 CTF 实战视角(🔍➡️💻),让你发现这些看似复杂的 RSA 题型,其实都是核心原理的变形与拓展。它们不仅考验着数论与模运算的基础功底,更需要灵活...
2026-03-04
RSA加解密专题 - Coppersmith 相关攻击一
Coppersmith 攻击是一种针对 RSA 加密算法的攻击方法,主要用于在特定条件下恢复 RSA 私钥或解密 RSA 密文。该攻击方法由 Don Coppersmith 在 1996 年提出,利用了 RSA 加密算法中的数学结构和性质。 这里我们并不会深入到 Coppersmith 攻击的数学细节,但我们会介绍一些相关的攻击场景和原理,以帮助你理解 Coppersmith 攻击的基本思想和应用。 部分明文泄露攻击 😋单一变量的情况下,我们主要关注构建一个多项式方程,并使用 Coppersmith 方法来寻找小根。这种方法可以在某些特定条件下成功,例如当明文的某些部分已知或满足特定的数学关系时。 最简单的情况莫过于明文的某些部分已知,不管是哪一种泄露直接套用加密的方程就好: \begin{align*} (m_h + x)^e &\equiv c \pmod{n} \\ (m_h + x \ll m_l.\text{nbits}() + m_l)^e &\equiv c \pmod{n} \\ (x \ll m_l.\text{nbits}() + m_l)^e &\equi...
2026-03-10
RSA加解密专题 - Coppersmith 相关攻击二
上一章我们介绍了 Coppersmith 相关攻击的基本原理和实现方法,帮助大家了解了如何利用 Coppersmith 方法来攻击 RSA 加密算法。接下来,我们将继续深入探讨 Coppersmith 相关攻击的应用。 欢迎来到《密码学核心算法实战》的 Coppersmith 相关攻击二专题!这里没有纸上谈兵的理论空谈(真的不画大饼😉),只有一把把能直接撬动数据安全的精密齿轮⚙️。 $d_q$ 的低位泄露攻击 🙃这种情况多见于破损pem文件,或者某些特定的实现中,攻击者可能会获得 $d_q$ 的部分低位信息。我们可以利用这些泄露的低位信息来恢复完整的 $d_q$,进而推导出私钥。 和前一篇文章中的私钥低位泄露一样,我们认识到低位,可以理解成原来的方程在取模时的值,然后我们就可以求解另外的参数的低位,最后通过 Coppersmith 方法求解高位。 $d_q$ 的低位泄露攻击例题$d_q$ 的低位泄露攻击例题下载 ''' 破损私钥以及密文 -----BEGIN RSA PRIVATE KEY----- MIICXgIBAAKBgQDXFSUGqpzsBe...
评论
