plai_n_rsa
2 minutos de lectura
Se nos proporciona el código fuente de Python para cifrar la flag:
import os
from Crypto.Util.number import bytes_to_long, getPrime
flag = os.getenvb(b"FLAG", b"SECCON{THIS_IS_FAKE}")
assert flag.startswith(b"SECCON{")
m = bytes_to_long(flag)
e = 0x10001
p = getPrime(1024)
q = getPrime(1024)
n = p * q
e = 65537
phi = (p-1)*(q-1)
d = pow(e, -1, phi)
hint = p+q
c = pow(m,e,n)
print(f"e={e}")
print(f"d={d}")
print(f"hint={hint}")
print(f"c={c}")
Y la salida del script:
e=65537
d=15353693384417089838724462548624665131984541847837698089157240133474013117762978616666693401860905655963327632448623455383380954863892476195097282728814827543900228088193570410336161860174277615946002137912428944732371746227020712674976297289176836843640091584337495338101474604288961147324379580088173382908779460843227208627086880126290639711592345543346940221730622306467346257744243136122427524303881976859137700891744052274657401050973668524557242083584193692826433940069148960314888969312277717419260452255851900683129483765765679159138030020213831221144899328188412603141096814132194067023700444075607645059793
hint=275283221549738046345918168846641811313380618998221352140350570432714307281165805636851656302966169945585002477544100664479545771828799856955454062819317543203364336967894150765237798162853443692451109345096413650403488959887587524671632723079836454946011490118632739774018505384238035279207770245283729785148
c=8886475661097818039066941589615421186081120873494216719709365309402150643930242604194319283606485508450705024002429584410440203415990175581398430415621156767275792997271367757163480361466096219943197979148150607711332505026324163525477415452796059295609690271141521528116799770835194738989305897474856228866459232100638048610347607923061496926398910241473920007677045790186229028825033878826280815810993961703594770572708574523213733640930273501406675234173813473008872562157659306181281292203417508382016007143058555525203094236927290804729068748715105735023514403359232769760857994195163746288848235503985114734813
El servidor usa RSA para cifrar la flag. Sin embargo, no nos dan el módulo público $n$. En cambio, el servidor nos proporciona el exponente privado $d$ y una pista que es $p + q$ (la suma de los dos números primos privados).
Contexto de RSA
RSA funciona de manera que, dado un mensaje $m$ en formato decimal, podemos cifrarlo como sigue:
$$ c = m^e \mod{n} $$
La clave pública está formada por $n$ y $e$. Y $n = p \cdot q$, que son dos números primos grandes (guardados como clave privada).
Por otro lado, para descifrar se necesitan dos valores más: $\phi(n) = (p - 1) (q - 1)$ y $d = e^{-1} \mod{\phi(n)}$, de manera que:
$$ m = c^d \mod{n} $$
Solución
Como tenemos $e$ y $d$, sabemos que $d = e^{-1} \mod{\phi(n)}$, que es equivalente a
$$ ed - 1 = k \phi(n) $$
Para cierto $k \in \mathbb{Z}$. Como $ed - 1$ no es mucho más grande que $\phi(n)$, Podemos hacer un poco de fuerza bruta en $k$ hasta que encontremos uno tal que $k | ed - 1$, por lo que podríamos haber encontrado $\phi(n)$.
Suponiendo que tengamos el correcto $\phi(n)$, se tiene que $\phi(n) = (p - 1) (q - 1)$. Si expandimos el producto, obtenemos:
$$ \phi(n) = (p - 1) (q - 1) = pq - (p + q) + 1 = n - (p + q) + 1 $$
Dado que tenemos la pista ($p + q$), podemos encontrar $n$, que es lo único que necesitamos para descifrar el texto cifrado $c$:
$$ m = c^d \mod{n} $$
Si el $\phi(n)$ no es correcto, entonces el mensaje $m$ no contendrá SECCON{, y tendremos que seguir probando valores de $k$.
Flag
Después de un poco de fuerza bruta, obtendemos la flag:
$ python3 solve.py
[+] k: 53137
[+] SECCON{thank_you_for_finding_my_n!!!_GOOD_LUCK_IN_SECCON_CTF}
El script completo se puede encontrar aquí: solve.py.