AlexCTF 2017 write up
チーム yharima で参加したので、write up を書いておく。 暗号ばっかり解いていた。
CR2
問題文を読むと、one time pad を使ったけど one time と呼ばれる意味が分かっていない、的なことが書いてあったので、鍵が使いまわされているんだろうなあと予想。
one time pad といっても色々あるらしいのだが、XORで暗号文を作ると予想して、次のリンクにある通り解読を試みた。
http://crypto.stackexchange.com/questions/59/taking-advantage-of-one-time-pad-key-reuse/64
鍵をK、平文をTとしたときに、暗号文Cは鍵と平文の XOR をとったもの。
C = K ⊕ T
同じ鍵の暗号文が複数用意されている (C1, C2) とき、暗号文どうしの XOR をとると、鍵の影響を排除できる。
C1 = K ⊕ T1
C2 = K ⊕ T2
C1 ⊕ C2 = (K ⊕ T1) ⊕ (K ⊕ T2)
= T1 ⊕ T2
C1 ⊕ C2に対し、平文に入っていそうな単語で適当な位置のXORをとってみて、結果が読める文になるところを探す。見つかった場合、その部分の平文が明らかになったことになる。ただし、元の単語と XOR の結果のどちらが C1 に含まれるのかはわからない。
問題のテキストは 11 行になっていたので、hex から byte に変換してから、適当な2行を選んで思いついた単語が入っているか確認していった。
結果、どうやら3行目に crypt という文字列が含まれているらしいことがわかった。 これで、次のような感じの平文になっていることが判明したので、あとは左右にそれっぽい文字がくるよう適当に伸ばしていけば全部解読できた。
___________________ime I__ ___________________e and__ ___________________crypt__ ___________________hat i__ ___________________ion m__ ___________________tical__ ___________________racke__ ___________________kept __ ___________________f you__ ___________________ this__ ___________________ways.
解読結果はこちら。
Dear Friend, This time I u nderstood my mistake and u sed One time pad encryptio n scheme, I heard that it is the only encryption met hod that is mathematically proven to be not cracked ever if the key is kept se cure, Let me know if you a gree with me to use this e ncryption scheme always.
結局、鍵がフラグだった。
ALEXCTF{HERE_GOES_THE_KEY}
(初めからALEXCTF{とXORとっていけばよかった)
CR4
RSAの問題。 とりあえず modulus を見てみる。
$ openssl rsa -noout -text -in key.pub -pubin
Public-Key: (399 bit)
Modulus:
52:a9:9e:24:9e:e7:cf:3c:0c:bf:96:3a:00:96:61:
77:2b:c9:cd:f6:e1:e3:fb:fc:6e:44:a0:7a:5e:0f:
89:44:57:a9:f8:1c:3a:e1:32:ac:56:83:d3:5b:28:
ba:5c:32:42:43
Exponent: 65537 (0x10001)
399 bit の RSA コンテストはなかったが、factordb に聞いたら素因数分解してもらえた。
あとは Wikipedia にある通り、例の式に従って復号。
フラグは ALEXCTF{SMALL_PRIMES_ARE_BAD}
CR5
nc でつなぐと、次の数字を教えてもらうか、予想の入力をすることができる。 教えてもらうと乱数列が返ってくるので、これを予想すればいいっぽい
線形合同法では?、と思い次のリンクの通り乱数列の予測を試みた。
security.stackexchange.com
リンク先に書いてある通りだが、ここにもまとめておく。
x[n + 1] = a * x[n] + b (mod m)
より
x[n + 1] - x[n] = a * (x[n] - x[n - 1]) (mod m)
となるので、
y[n] = x[n + 1] - x[n] (mod m)
とおくと、
y[n + 1] = a * y[n] (mod m)
よって
y[n + 2] * y[n] - (y[n + 1])^2 = 0 (mod m)
これにより、y[n + 2] * y[n] - (y[n + 1])^2 を十分な数の n について集め、最大公約数をとれば、m が求められる。
あとは、y[1] = a * y[0] (mod m) を解いて a を出して、x[1] = a * x[0] + b (mod m) を解いて b を出すだけ。
最初の10回くらいは聞いて、それをもとに m, a, b を求め、乱数列を出す。
10回連続で正解すると、フラグを出してくれた。
flag is ALEXCTF{f0cfad89693ec6787a75fa4e53d8bdb5}
書いたスクリプトはこんな感じ。
#!/usr/bin/env python def gcd(a, b): if a < b: return gcd(b, a) while b: a, b = b, a%b return a def egcd(a, b): x, lx = 0, 1 y, ly = 1, 0 while b != 0: q = a // b a, b = b, a % b x, lx = lx - q * x, x y, ly = ly - q * y, y return lx, ly x = [ 4251151823, 2502705517, 4101273005, 1396379746, 4159332548, 3671236567, 433240385, 465003001, 2767252763, 952274152 ] # x[i + 1] = a * x[i] + b (mod m) # y[i + 1] = a * y[i] (mod m) y = [] for i in range(len(x) - 1): y.append(x[i + 1] - x[i]) # z[i] = y[i + 2] * y[i] - (y[i + 1])^2 = 0 (mod m) z = [] for i in range(len(y) - 2): zz = y[i + 2] * y[i] - y[i + 1] * y[i + 1] if zz < 0: zz = -zz z.append(zz) m = z[0] for i in range(len(z)): m = gcd(m, z[i]) for i in range(len(y)): while y[i] < 0: y[i] += m # p * y[0] + q * m = r (mod m) # p * y[0] = r (mod m) p, q = egcd(y[0], m) r = (p * y[0]) % m # y[1] = a * y[0] # p * y[1] = a * p * y[0] = a * r a = ((y[1] / r) * p) % m # a * x[0] + b = x[1] (mod m) # b = x[1] - a * x[0] (mod m) b = (x[1] - a * x[0]) % m print "check y" yy = [] yy.append(y[0]) for i in range(len(y) - 1): t = (a * yy[i]) % m yy.append(t) print y[i + 1], yy[i + 1], (y[i + 1] - yy[i + 1]) print print "check x" xx = [] xx.append(x[0]) for i in range(len(x) - 1): t = (a * xx[i] + b) % m xx.append(t) print x[i + 1], xx[i + 1], (x[i + 1] - xx[i + 1]) print print "show x" xx = [] xx.append(x[0]) for i in range(29): t = (a * xx[i] + b) % m xx.append(t) for i in range(len(xx)): print '{0}\t{1}'.format(i, xx[i])
次CTFに参加するときは暗号以外も解きたい。
