# Атака Винера
Расшифрование или создание подписи при помощи RSA обычно достаточно энергоёмкий и долгий процесс, так как мы не можем просто выбрать красивую закрытую экспоненту $d$ с низким весом Гэмминга (её очень просто было бы угадать). Поэтому у людей иногда появляется позыв выбрать такую открытую экспоненту $e$, что длина $d$ в битах в несколько раз меньше, чем длина модуля $N$, например, $N$ - 2048, а $d$ - 500 бит. Интуитивно может показаться, что раз $d$ сложно угадать (всё-таки 500 бит), можно быть спокойным за безопасной криптосистемы. К сожалению, это очень опасная ошибка. 
## Теорема (M. Wiener)
Пусть $N = pq$ с $q<p<2q$. Пусть $d<\frac{1}{3}N^{\frac{1}{4}}$. Зная $(N,e)$, у которого $ed=1\space mod\space \varphi(N)$, Марвин может эффективно восстановить $d$.

### Доказательство (взято из [Twenty Years of Attacks on the RSA Cryptosystem](http://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf) в авторстве Dan Boneh)

Доказательство основывается на приближенных значениях при использовании непрерывных дробей. Поскольку существует $ed=1\space mod\space \varphi(N)$, то сучществует такое $k$, что $ed-k\varphi(N)=1$. Следовательно,
$$\lvert\frac{e}{\varphi(N)}-\frac{k}{d}\rvert=\frac{1}{d\varphi(N)}$$
Значит, $\frac{k}{d}$  - это приближенное значение к $\frac{e}{\varphi(N)}$. Хоть Марвин и не знает $\varphi(N)$, он може воспользоваться $N$, чтобы получить его примерную оценку. Действительно, раз $\varphi(N)=N-p-q+1$ и $p+q-1<3\sqrt{N}$, получается, что $\lvert N-\varphi(N)\rvert<3\sqrt{N}$

Подставляя $N$ вместо $\varphi(N)$ получаем:
$$\lvert\frac{e}{N}-\frac{k}{d}\rvert=\lvert\frac{ed-k\varphi(N)-kN+k\varphi(N)}{Nd}\rvert=\lvert\frac{1-k(N-\varphi(N))}{Nd}\rvert\le\lvert\frac{3k\sqrt(N)}{Nd}\rvert=\frac{3k}{d\sqrt{N}}$$
Заметим, что $k\varphi(N)=ed-1 \lt ed$. Так как $e \lt N$, видно, чтоt $k \lt d \lt \frac{1}{3}N^{\frac{1}{4}}$. Поэтому получаем:
$$\lvert\frac{e}{N}-\frac{k}{d}\rvert\le \frac{1}{dN^{\frac{1}{4}}}\lt\frac{1}{2d^2}$$

Это классическое отношение приближения. Количество дробей $\frac{k}{d}$ with $d\lt N$, дающих приближенное значение $\frac{e}{N}$ с такой точностью, ограничено $log_{2}N$ На самом деле, все такие дроби могут быть получены как подходящие дроби непрерывной дроби $\frac{e}{N}$. Всё, что надо сделать, это посчитать $log\space N$ подходящих дробей непрерывной дроби $\frac{e}{N}$. Одна из них будет равна $\frac{k}{d}$. Так как $ed-k\varphi(N)=1$, то $НОД(k,d)=1$ и значит $\frac{k}{d}$ - это сокращенная дробь. Это и есть линейный по времени алгоритм восстановления закрытого ключа $d$. **ЧТД**

## Непрерывные и подходящие дроби
*Непрерывная дробь*  - это выражение, полученное при помощи последовательного процесса представления числа как суммы его целочисленной части и обратного элемента по умножению к оставшейся части, далее представляя эту оставшуюся часть, как сумму целочисленной части и обратного элемента и так далее.
Пример:
Для действительного числа $x>0$ и целых положительных $a_{i}$, for $i=1,...,n$ 
$$x=a_{0}+\frac{1}{a_{1}+\frac{1}{a_{2}+\frac{1}{\ddots+\frac{1}{a_{n}}}}}$$ - 
это непрерывная дробь. Целые числа $a_0, a_1$, и т.д., называются *элементами* или *неполными частными* непрерывной дроби. Есть много способов записи непрерывных дробей, мы будем использовать следующую:
$$x=[a_0;a_1,a_2,...]$$
Непрерывная дробь может сформировать своё приближение при помощи первых элементов. Таки приближения называются *подходящими дробями*.
Очевидно, что для рационального $x$ количество таких подходящих дробей конечно finite.
Первые четыре подходящие дроби непрерывной дроби:
$$\frac{a_0}{1},\frac{a_1a_0+1}{a_1},\frac{a_2(a_1a_0+1)+a_0}{a_2a_1+1},\frac{a_3(a_2(a_1a_0+1)+a_0)+(a_1a_0+1)}{a_3(a_2a_1+1)+a_1}$$
Если существуют последующие подходящие дроби, они могут быть вычислены рекурсивно. $h_i$ обозначим числители, а $k_i$ - знаменатели. Тогда ряд подходящих дробей может быть вычислен следующим образом:
$$\frac{h_i}{k_i}=\frac{a_i h_{i-1}+h_{i-2}}{a_i k_{i-1}+k_{i-2}}$$
Реализуйте алгоритм для нахождения элементов и подходящих дробей для любого рационального числа.

*Подсказка: вы можете использовать алгоритм Евклида для вычисления элементов*

In [1]:
def get_cont_frac(a, b):
    """Разложение в непрерывную дробь"""
    cont_frac = []

    while b:
        q = a // b
        cont_frac.append(q)
        a, b = b, a - q * b
    return cont_frac


def get_convergents(a, b):
    """Получение подходящих дробей"""
    cont_frac = get_cont_frac(a, b)

    conv = [(cont_frac[0], 1), (cont_frac[1] * cont_frac[0] + 1, cont_frac[1])]

    for i in range(2, len(cont_frac)):
        k_i = cont_frac[i] * conv[i - 1][0] + conv[i - 2][0]
        d_i = cont_frac[i] * conv[i - 1][1] + conv[i - 2][1]

        conv.append((k_i, d_i))

    return conv

Теперь, когда вы написали алгоритм поиска подходящих дробей, давайте рассмотрим, как при их помощи найти $p$ и $q$. Поскольку $\frac{k}{d}$  - это сокращенная дробь, знаменатель одной из подходящих дробей - это и есть закрытая экспонента $d$. Этого уже достаточно, чтобы расшифровать шифртекст, но мы может и факторизовать $N$. Мы также знаем $k$, а $\varphi(N)=\frac{ed-1}{k}$, значит мы можем вычислить $\varphi(N)$.
$$ N-\varphi(N)= pq-(p-1)(q-1)=pq-pq+p+q-1=p+q-1$$
$$q=N-\varphi(N)-p+1$$
$$N=pq=p(N-\varphi(N)-p+1)=pN-p\varphi(N)-p^2+p$$
$$p^2-p(N-\varphi(N)+1)+N=0$$
Получаем красивое квадратное урванение, корнями которого и будут $p$ и $q$

Давайте используем полученные знания на уязвимом сервере. Задача такая же, как и в blinding таске. Нужно отправить на сервер правильную подпись для сообщения 'flag', чтобы его получить.
Шаги:
1. Найти $d$ хитроумно используя непрерывные дроби
2. Найти $p$ и $q$
3. Подписать сообщение и послать на сервер
4. Profit

In [2]:
import socket
import re
from Crypto.Util.number import inverse, long_to_bytes, bytes_to_long


class VulnServerClient:
    def __init__(self, show=True):
        """Инициализация, подключаемся к серверу"""
        self.s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        self.s.connect(('cryptotraining.zone', 1338))
        if show:
            print(self.recv_until().decode())

    def recv_until(self, symb=b'\n>'):
        """Получение сообщения с сервера, по умолчанию до приглашения к вводу команды"""
        data = b''
        while True:

            data += self.s.recv(1)
            if data[-len(symb):] == symb:
                break
        return data

    def get_public_key(self, show=True):
        """Получение открытого ключа с сервера"""
        self.s.sendall('public\n'.encode())
        response = self.recv_until().decode()
        if show:
            print(response)
        e = int(re.search('(?<=e: )\d+', response).group(0))
        N = int(re.search('(?<=N: )\d+', response).group(0))
        self.num_len = len(long_to_bytes(N))
        self.e, self.N = e, N
        return (e, N)

    def checkSignatureNumber(self, c, show=True):
        """Проверка сигнатуры (на сервере) для подписи в числовом представлении"""
        try:
            num_len = self.num_len
        except KeyError:
            print('You need to get the public key from the server first')
            return
        signature_bytes = long_to_bytes(c, num_len)
        self.checkSignatureBytes(signature_bytes, show)

    def checkSignatureBytes(self, c, show=True):
        """Проверка сигнатуры (на сервере) для подписи в байтовом представлении"""
        try:
            num_len = self.num_len
        except KeyError:
            print('You need to get the public key from the server first')
            return
        if len(c) > num_len:
            print("The message is too long")
            return

        hex_c = c.hex().encode()
        self.s.sendall(b'flag ' + hex_c + b'\n', )
        response = self.recv_until(b'\n').decode()

        if show:
            print(response)

        if response.find('Wrong') != -1:
            print('Wrong signature')
            x = self.recv_until()
            if show:
                print(x)
            return
        flag = re.search('CRYPTOTRAINING\{.*\}', response).group(0)
        print('FLAG: ', flag)

    def setPrivateKey(self, p, q):
        """Выставить закрытый ключ"""
        self.p = p
        self.q = q
        self.d = inverse(self.e, (p - 1) * (q - 1))

    def signMessageBytes(self, m):
        """Подписать сообщение, после того как найден закрытый ключ"""
        try:
            num_len = self.num_len
        except KeyError:
            print('You need to get the public key from the server first')
            return
        if len(m) > num_len:
            print('m too long')
        if len(m) < num_len:
            m = bytes([0x0] * (num_len - len(m))) + m
        signature_bytes = long_to_bytes(pow(bytes_to_long(m), self.d, self.N))
        return signature_bytes

    def __del__(self):
        self.s.close()

In [3]:
vs = VulnServerClient()
(e, N) = vs.get_public_key()

Welcome to the Wiener attack task
 Private exponent d is just 500 bits, so you should be able to find it
Available commands:
help - print this help
public - show public key
flag <hex(signature(b'flag'))> - print flag 
quit - quit
>
e: 8839551043978443608398025896780793202003010536758606314296322410796293227009006377928704733115527530568335157503545935668140280687677644384828827774341791741675311017053491920564415641618138819406621038589908795280642494559623024398109068612298406882999181546747809372362753924367242833372319005809150642099445908295931797686993337044287442366446944633023395286044870591661230521198944254856540088737753911491026348538755316415798095543587870314159684746164449762012523139033017984305566198737145039701834266332544305477425758867699770558649969398014284113283810963997678267189504521186597841548911958269916619229615
N: 2125632243008959885433870068920027190367541374095231465087756330559520029821479584027940861064949753515591988619949409409411394632703885502835311

In [4]:
from gmpy2 import iroot

In [6]:
def get_p_q(convergents):
    """Исследование подходящих дробей и нахождение p и q"""
    for k, d in convergents[1:]:
        # определение возможного значения phi
        phi = (e * d - 1) // k
        # решение уравнения x**2 - (N - phi + 1) * x + N = 0
        b = -(N - phi + 1)
        discr = (b**2 - 4 * N)
        if discr > 0:
            sq, f = iroot(discr, 2)
            if f == True:
                p = (-b + sq) // 2
                q = (-b - sq) // 2
                # проверка выполнения равенства N = p * q
                if N == p * q:
                    print('d:', d, 'p:', p, 'q:', q)
                    return p, q

In [7]:
# найдем непрерывные дроби
convergents = get_convergents(e, N)

# найдем p и q
p, q = get_p_q(convergents)

# выставим закрытый ключ
vs.setPrivateKey(p, q)

# получим подпись для сообщения 'flag'
c = vs.signMessageBytes(b'flag')

# проверим подпись
vs.checkSignatureBytes(c)

d: 3102794603368243249719412084255152865637250744017305757809527035623495527942620237297923432659769774986945116500519246159799961252840398383108205151983 p: 156190243542713178546133591618115991566104848346483911121893359600424661962363062090525433061962637989648172415348320523952898956251235669114124314153049479243398091311619055077493727944760608305387943043036516945574798031496567508438314799787906601725336156961527771902467150661872542888678389682785149736197 q: 136092510953007478570268384418028319537003108536186942830256936577042373320325053196669130154642028704633351272137188377275391894594727726004718093237280474867177186682800426026826869420613201312092075339135890518015390043792996627991826829487256323031372594451747915282334925718975430328630526948741604553897
Congratulations! Here is your flag: CRYPTOTRAINING{p1ck_4_l177l3_d_4nd_4ll_y0ur_s3cr37s_4r3_g0n3}

FLAG:  CRYPTOTRAINING{p1ck_4_l177l3_d_4nd_4ll_y0ur_s3cr37s_4r3_g0n3}
