Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Crypto超入門 / SECCON Beginners Live 2022

ushigai
September 11, 2022
2
1.5k

Crypto超入門 / SECCON Beginners Live 2022

ushigai

September 11, 2022
Tweet

More Decks by ushigai

See All by ushigai
暗号目線で俯瞰するSSL/TLS / security minicamp in Tokyo 2022 TLS
ushigai
0
330
SECCON Beginners CTF2021のCryptoを解いてみよう
ushigai
0
940

Featured

See All Featured
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
Designing for Performance
lara
601
67k
The Straight Up "How To Draw Better" Workshop
denniskardys
227
130k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Code Review Best Practice
trishagee
55
15k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Being A Developer After 40
akosma
57
580k
Designing on Purpose - Digital PM Summit 2013
jponch
110
6.5k
Documentation Writing (for coders)
carmenintech
60
3.9k
Building Flexible Design Systems
yeseniaperezcruz
319
37k
Building Better People: How to give real-time feedback that sticks.
wjessup
355
18k

Transcript

  1. Crypto超入門 SECCON Beginners Live 2022 2022/09/11 うしがぃ

  2. うしがぃ@ushigai_sub 所属 都立産業技術高等専門学校(5年) SECCON Beginners 運営チーム 趣味 ピアノ:小6から8年間 ルービックキューブ3×3:1/5/12/100=12.32/15.42/17.18/18.70 将棋:アマ二段

    自己紹介 Crypto超入門 2

  3. Cryptoとは CTFにおける出題傾向 RSA暗号の基本 暗号化と復号の定義 pythonでの実装 攻撃手法の紹介 復号するために必要な情報 典型的な攻撃手法の紹介 内容 Crypto超入門

    3

  4. CTF初心者のかた RSA暗号について... 暗号化と復号の計算方法と実装を学びたいかた 簡単な攻撃について理解したいかた お話の対象層 Crypto超入門 4

  5. cryptographyの略で暗号に関する問題 暗号化されたメッセージの解読 認証情報のハック 配布ファイル 暗号化スクリプト&暗号文 サーバのスクリプトファイル スクリプトは主にpython CTFにおけるCryptoとは Crypto超入門 5

  6. どのような問題が出るのか 文字コード変換 2018: Veni, vidi, vici 2020: R&B AES 2020:

    Encrypter 2021: Imaginary 2022: command ElGamal 2018: Well Known 乱数 2022: unpredictable_pad 格子 2021: Field_trip そのた 2019: Party 2020: Noisy equations 2021: Logical_SEESAW 2021: GFM 2022: CoughingFox Crypto超入門 6

  7. RSA 2018: RSA is Power 2019: Go RSA 2020: RSA

    Calc 2021: simple_RSA 2021: p-8RSA 2022: PrimeParty 2022: omni-RSA どのような問題が出るのか Crypto超入門 7

  8. Rivest,Shamir,Adlemanによって発明された 古参の公開鍵暗号 1977年に発明 公開鍵暗号を具体化した初の暗号化アルゴリズム 現代でもデジタル署名などで使用されている^1 素因数分解が困難であることを安全性の根拠としている RSA暗号とは Crypto超入門 8

  9. 知名度が高い 数式が美しく奥が深い 暗号化: 復号: 数式をいじって脆弱にしやすい RSA暗号がなぜ多いのか c = me mod

    n m = cd mod n Crypto超入門 9

  10. 前提知識 RSA暗号の基礎 暗号化と復号の定義 pythonでの実装 攻撃手法の紹介 どのような情報を得られれば復号できるのか 具体例の紹介 RSA暗号 Crypto超入門 10

  11. 前提知識 (1/4) モジュロ演算 整数 について を で割り余りを取得する演算をモジュロ演算という ほとんどの公開鍵暗号ではモジュロ演算を使用 を で割った余りは

    と表記 計算例 a, n a n a n a mod n 12 mod 4 = 0 50 mod 11 = 6 Crypto超入門 11

  12. 前提知識 (2/4) 最大公約数について ある2つの整数について、それぞれを割り切る最も大きな整数のことを 最大公約数(GCD: Greatest Common Divisor)という 計算例 ユークリッドの互除法を使用すれば高速に計算することができる

    のとき、 と を「互いに素」と呼ぶ GCD(14, 21) = 7 GCD(12, 48) = 12 GCD(101, 128) = 1 gcd(m, n) = 1 m n Crypto超入門 12

  13. 前提知識 (3/4) オイラーのトーシェント関数 任意の自然数 について と互いに素な 以下の自然数の個数を とおく。 が素数の場合 e.g.

    が異なる素数 からなる合成数の場合 e.g. n n n φ(n) n φ(n) = n − 1 n = 7 ⇒ φ(n) = 6 n p, q φ(n) = (p − 1)(q − 1) n = 15 ⇒ φ(n) = 8 Crypto超入門 13

  14. 前提知識 (4/4) 良く出てくる用語 平文/暗号文 暗号化されていなく、そのまま読めるデータ 秘密鍵をもつ人しか読めないデータ 公開鍵暗号 暗号化と復号で別の鍵を使い、暗号化で使用する鍵を公開する方式 公開鍵/秘密鍵 暗号化のみで使用し公開する鍵

    復号のみで使用し秘密にする鍵 Crypto超入門 14

  15. RSA暗号の暗号化と復号の定義 鍵生成: 素数 と (一般に )を決定し とおき、 とおく。(ただし とする) このとき公開鍵の組を

    ,秘密鍵を とする。 p, q e e = 65537 n = pq d = e−1 mod φ(n) gcd(φ(n), e) = 1 (e, n) d 暗号化: 任意の平文 について暗号文 は となる。 m c c = me mod n 復号: 平文 は と復号できる。 m m = cd mod n Crypto超入門 15

  16. 公開鍵/秘密鍵 平文 RSA暗号の具体的な計算例 p = 5, q = 11 n

    = 55 e = 3, d = 27 m = 32 Crypto超入門 16

  17. RSA暗号の具体的な計算例 暗号化 pow(32, 3, 55) -> 43 復号 pow(43, 27,

    55) -> 32 m = 32 c = me mod n c = 323 mod 55 m = cd mod n m = 4327 mod 55 Crypto超入門 17

  18. pycryptoとは pythonの暗号処理モジュール pycryptoは2013年10月18日を最後に更新されていないのでfork開発さ れているpycryptodomeを使用すべき 特に Crypto.Util.number にCTFで最低限戦える関数がたくさんある 文字列⇔数値の変換: long_to_bytes(6382179) ,

    bytes_to_long(b"abc") Nbitの素数生成: getPrime(N) の計算: inverse(u, v) Cryptoモジュールについて u−1 mod v Crypto超入門 18

  19. from Crypto.Util.number import * p, q = getPrime(512), getPrime(512) #

    素数生成 n = p * q # 公開鍵生成 e = 65537 message = bytes_to_long(b"Hello world!!!") cipher = pow(message, e, n) # 暗号化 c=m^e mod n phi = (p - 1)*(q - 1) d = inverse(e, phi) # 秘密鍵生成 d=e^-1 mod φ(n) message = pow(cipher, d, n) # 復号 m=c^d mod n RSAの実装 Crypto超入門 19

  20. 前提として… 1024bit以上のPlainRSAは現実的な時間で解くことが不可能 脆弱にしてあげる必要がある 紹介する攻撃手法 素因数分解できる場合 素数を使いまわしている場合 方程式を解くことで素因数分解できる場合 CTFにおけるRSA暗号 Crypto超入門 20

  21. 復号の条件 どのような情報を得られれば復号できるのか 前提条件 は公開鍵で既知 また も暗号文で既知 : 秘密鍵なので復号できる : 素因数分解でき復号できる

    : 素因数分解でき復号できる n, e c d p q Crypto超入門 21

  22. 計算量とは 入力値に対する実行ステップ数の増加量の指標 Cryptoの問題を解く上でエクスプロイトコードの計算量は非常に重要 CTFはだいたい24時間開催なので…… 32bitの鍵を総当たりするのが限界 で , で 復号の条件 計算量について

    N = 32 O(2 ) N N = 1010 O(N) Crypto超入門 22

  23. RSA暗号は素因数分解すると復号できる を素朴に全探索 計算量が であまり良くない ツールの使用がおすすめ yafu, sagemath, msieve http://factordb.com/index.php https://www.alpertron.com.ar/ECM.HTM

    素因数分解 n(= pq) 2, 3, 5, 7, ... O( ​ ) N Crypto超入門 23

  24. from Crypto.Util.number import * p, q = getPrime(64), getPrime(64) #

    64bitの素数を生成 n = p*q e = 65537 message = bytes_to_long(b"Hello world!!!") cipher = pow(message, e, n) print("n =", n) print("e =", e) print("cipher =", cipher) # n = 176758646138734597782135865714590884773 # e = 65537 # cipher = 84184983095913927892595433377236235254 実際にやってみる Crypto超入門 24

  25. from Crypto.Util.number import * n = 176758646138734597782135865714590884773 e = 65537

    cipher = 84184983095913927892595433377236235254 p = 11654023597864701997 q = 15167177640786744409 phi = (p - 1)*(q - 1) d = inverse(e, phi) message = pow(cipher, d, n) message = long_to_bytes(message) print(message) 実際にやってみる Crypto超入門 25

  26. 素数を使いまわしている場合 from Crypto.Util.number import * p1, q1 = getPrime(512), getPrime(512)

    p2, q2 = getPrime(512), q1 n1 = p1*q1 n2 = p2*q2 e = 65537 dummy_message = bytes_to_long(b"dumdumdummy!!!") dummy_cipher = pow(dummy_message, e, n2) message = bytes_to_long(b"FLAG{****}") cipher = pow(message, e, n1) print("n1 =", n1) print("n2 =", n2) print("e =", e) print("cipher =", cipher) ​ ​ { n ​ = p ​ q ​ 1 1 1 n ​ = p ​ q ​ 2 2 2 ここで とすると、 ​ { n ​ = p ​ Q 1 1 n ​ = p ​ Q 2 2 ⇒ Q = GCD(n ​ , n ​ ) 1 2 Q = q ​ = 1 q ​ 2 Crypto超入門 26

  27. from Crypto.Util.number import * n1 = <<snip>> n2 = <<snip>>

    e = 65537 cipher = <<snip>> Q = q1 = GCD(n1, n2) p1 = n1 // q1 phi = (p1 - 1)*(q1 - 1) d = inverse(e, phi) message = pow(cipher, d, n1) message = long_to_bytes(message) print(message) 素数を使いまわしている場合 Crypto超入門 27

  28. 方程式を解き素因数分解できる場合 from Crypto.Util.number import * p, q = getPrime(512), getPrime(512)

    n = p*q r = p + q e = 65537 message = bytes_to_long(b"FLAG{****}") cipher = pow(message, e, n) print("n =", n) print("e =", e) print("cipher =", cipher) print("r =", r) ​ { n = p ∗ q r = p + q ⇔ ​ ​ { n = p ∗ q p = r − q ⇒ n = −q + 2 rq ⇔ q − 2 rq + n = 0 の二次方程式なので が計算 できる q q Crypto超入門 28

  29. 方程式を解き素因数分解できる場合 from Crypto.Util.number import * from gmpy2 import iroot n

    = <<snip>> e = 65537 cipher = <<snip>> r = <<snip>> a, b, c = 1, -r, n X = iroot(b*b - 4*a*c, 2)[0] q = (-b + X) // 2*a p = n // q d = inverse(e, (p - 1)*(q - 1)) message = pow(cipher, d, n) message = long_to_bytes(message) print(message) q − 2 rq + n = 0 q = ​ 2 r + ​ r − 4n 2 Crypto超入門 29

  30. RSA暗号はCTFで頻出な公開鍵暗号 RSA暗号は を素因数分解することで復号できる 攻撃 素数 が小さい場合ツールによる素因数分解が有効 公開鍵 が複数得られ素数が使いまわされている場合、GCDをとることで 素因数分解できる の式が複数得られている場合、それらの式を解くことで素因数分解で

    きる まとめ n p, q n p, q Crypto超入門 30

  31. おすすめ本 詳解セキュリティコンテスト 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書 暗号技術入門 クラウドを支えるこれからの暗号技術 おすすめ常設CTF picoCTF CRYPTOHACK おすすめ紹介 Crypto超入門

    31

  32. おすすめ記事 RSA暗号運用でやってはいけないnのこと #ssmjp Twenty Years of Attaks on the RSA

    Cryptosystem おすすめVTuber kurenaif 【RSA入門】【初心者と一緒に学ぶ】CTFのCrypto超入門【kurenaif】 おすすめ紹介 Crypto超入門 32

  33. Wikipedia RSA暗号 https://ja.wikipedia.org/wiki/RSA%E6%9A%97%E5%8F%B7 Wikipedia オイラーのφ関数 https://ja.wikipedia.org/wiki/%E3%82%AA%E3%82%A4%E3%83% A9%E3%83%BC%E3%81%AE%CF%86%E9%96%A2%E6%95%B0 AtCoder W -

    2.06.計算量 https://atcoder.jp/contests/apg4b/tasks/APG4b_w 参考 Crypto超入門 33
  34. None