从共享钥匙到数字保险箱:用生活化类比破解RSA共模攻击
想象你和同事共用公司保险箱,两把不同的锁并排安装在箱门上——这就是RSA共模攻击的起点场景。当你们各自用独立钥匙上锁时,谁都没想到这种设计会埋下安全隐患。今天我们就用这种日常可见的协作场景,拆解密码学中最巧妙的攻击方式之一。
1. 保险箱与钥匙:重新认识RSA加密
现代密码学就像一组精密的机械锁具系统。RSA算法中的公钥相当于锁芯结构,所有人都能看见;私钥则是唯一的开锁钥匙,由持有人秘密保管。当两个用户使用相同的保险箱(模数n)但不同的锁芯(公钥e1、e2)时,就构成了共模攻击的前提条件。
举个具体例子:
- 公司采购部用锁A(e1=3)加密"预算金额"
- 财务部用锁B(e2=5)加密同样的"预算金额"
- 两个部门都使用公司统一配发的保险箱(n=143)
这种场景下,攻击者即使没有任何钥匙,也能通过观察锁具的配合关系破解密码。就像锁匠通过研究锁芯的咬合关系,可以制作万能钥匙一样。
2. 锁匠的逆向思维:从协作漏洞到攻击路径
传统认知中"两把锁更安全"的直觉在密码学中可能完全相反。当两个密文c1、c2满足以下条件时,系统就暴露在风险中:
| 要素 | 数学表示 | 生活化类比 |
|---|---|---|
| 相同模数 | n相同 | 同一品牌保险箱 |
| 互素公钥 | gcd(e1,e2)=1 | 锁芯结构无共同弱点 |
| 相同明文 | m不变 | 箱内存放同一份文件 |
攻击者就像观察员工开锁习惯的安保人员,发现两个重要线索:
- 两把锁安装在同一个箱体上
- 两个部门有时会协作开箱
关键突破点在于扩展欧几里得算法,这个看似复杂的数学工具,实际就像锁匠记录下每次开锁的旋转角度:
def find_unlock_combination(e1, e2): # 寻找s1和s2使得 e1*s1 + e2*s2 = 1 if e2 == 0: return 1, 0 else: x, y = find_unlock_combination(e2, e1 % e2) return y, x - (e1 // e2) * y这个函数输出的s1和s2,就是模拟两个钥匙配合开锁的"旋转方案"。当s1为负数时,相当于需要先反向旋转锁A(求c1的模反元素)。
3. 实战开锁:从理论到CTF解题
让我们用BUUCTF的RSA3题目验证这个生活化模型。题目给出了以下参数:
n = 22708078815885011462462049064339185898712439277226831073457888403129378547350292420267016551819052430779004755846649044001024141485283286483130702616057274698473611149508798869706347501931583117632710700787228016480127677393649929530416598686027354216422565934459015161927613607902831542857977859612596282353679327773303727004407262197231586324599181983572622404590354084541788062262164510140605868122410388090174420147752408554129789760902300898046273909007852818474030770699647647363015102118956737673941354217692696044969695308506436573142565573487583507037356944848039864382339216266670673567488871508925311154801 c1 = 22322035275663237041646893770451933509324701913484303338076210603542612758956262869640822486470121149424485571361007421293675516338822195280313794991136048140918842471219840263536338886250492682739436410013436651161720725855484866690084788721349555662019879081501113222996123305533009325964377798892703161521852805956811219563883312896330156298621674684353919547558127920925706842808914762199011054955816534977675267395009575347820387073483928425066536361482774892370969520740304287456555508933372782327506569010772537497541764311429052216291198932092617792645253901478910801592878203564861118912045464959832566051361 e1 = 11187289 c2 = 18702010045187015556548691642394982835669262147230212731309938675226458555210425972429418449273410535387985931036711854265623905066805665751803269106880746769003478900791099590239513925449748814075904017471585572848473556490565450062664706449128415834787961947266259789785962922238701134079720414228414066193071495304612341052987455615930023536823801499269773357186087452747500840640419365011554421183037505653461286732740983702740822671148045619497667184586123657285604061875653909567822328914065337797733444640351518775487649819978262363617265797982843179630888729407238496650987720428708217115257989007867331698397 e2 = 9647291解题步骤完全对应我们的保险箱模型:
- 确认锁具兼容性:检查gcd(e1,e2)=1
- 计算开锁组合:用扩展欧几里得算法求s1,s2
- 调整旋转方向:处理负指数的情况
- 同步转动钥匙:计算(c1^s1 * c2^s2) mod n
注意:实际CTF比赛中,n通常会被故意设置为不合理的长度(如本题的2048位),这是为了防止暴力破解,但不影响共模攻击的有效性。
4. 防御策略:从攻击原理看系统设计
理解了攻击方法后,我们自然能推导出防御方案。就像公司行政部发现保险箱漏洞后会采取的措施:
- 禁止密钥复用:每个保险箱配备唯一编号(独立模数n)
- 强制使用标准锁具:采用65537等公认安全的公钥
- 增加开箱记录:引入随机padding增强明文唯一性
在软件开发中,这些对策对应着:
# 错误示范:重复使用模数 from Crypto.PublicKey import RSA key1 = RSA.generate(2048) key2 = RSA.generate(2048, e=key1.n) # 危险! # 正确做法:完全独立生成 key1 = RSA.generate(2048) key2 = RSA.generate(2048) # 自动使用不同n密码学工程师们常开玩笑说,共模攻击就像发现同事总把钥匙藏在花盆底下——系统设计时的微小疏漏,可能成为安全防线的致命弱点。
)
