# Атака Винера
Расшифрование или создание подписи при помощи RSA обычно достаточно энергоёмкий и долгий процесс, так как мы не можем просто выбрать красивую закрытую экспоненту $d$ с низким весом Гэмминга (её очень просто было бы угадать). Поэтому у людей иногда появляется позыв выбрать такую открытую экспоненту $e$, что длина $d$ в битах в несколько раз меньше, чем длина модуля $N$, например, $N$ - 2048, а $d$ - 500 бит. Интуитивно может показаться, что раз $d$ сложно угадать (всё-таки 500 бит), можно быть спокойным за безопасной криптосистемы. К сожалению, это очень опасная ошибка. 
## Теорема (M. Wiener)
Пусть $N = pq$ с $q<p<2q$. Пусть $d<\frac{1}{3}N^{\frac{1}{4}}$. Зная $(N,e)$, у которого $ed=1\space mod\space \varphi(N)$, Марвин может эффективно восстановить $d$.

### Доказательство (взято из [Twenty Years of Attacks on the RSA Cryptosystem](http://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf) в авторстве Dan Boneh)

Доказательство основывается на приближенных значениях при использовании непрерывных дробей. Поскольку существует $ed=1\space mod\space \varphi(N)$, то сучществует такое $k$, что $ed-k\varphi(N)=1$. Следовательно,
$$\lvert\frac{e}{\varphi(N)}-\frac{k}{d}\rvert=\frac{1}{d\varphi(N)}$$
Значит, $\frac{k}{d}$  - это приближенное значение к $\frac{e}{\varphi(N)}$. Хоть Марвин и не знает $\varphi(N)$, он може воспользоваться $N$, чтобы получить его примерную оценку. Действительно, раз $\varphi(N)=N-p-q+1$ и $p+q-1<3\sqrt{N}$, получается, что $\lvert N-\varphi(N)\rvert<3\sqrt{N}$

Подставляя $N$ вместо $\varphi(N)$ получаем:
$$\lvert\frac{e}{N}-\frac{k}{d}\rvert=\lvert\frac{ed-k\varphi(N)-kN+k\varphi(N)}{Nd}\rvert=\lvert\frac{1-k(N-\varphi(N))}{Nd}\rvert\le\lvert\frac{3k\sqrt(N)}{Nd}\rvert=\frac{3k}{d\sqrt{N}}$$
Заметим, что $k\varphi(N)=ed-1 \lt ed$. Так как $e \lt N$, видно, чтоt $k \lt d \lt \frac{1}{3}N^{\frac{1}{4}}$. Поэтому получаем:
$$\lvert\frac{e}{N}-\frac{k}{d}\rvert\le \frac{1}{dN^{\frac{1}{4}}}\lt\frac{1}{2d^2}$$

Это классическое отношение приближения. Количество дробей $\frac{k}{d}$ with $d\lt N$, дающих приближенное значение $\frac{e}{N}$ с такой точностью, ограничено $log_{2}N$ На самом деле, все такие дроби могут быть получены как подходящие дроби непрерывной дроби $\frac{e}{N}$. Всё, что надо сделать, это посчитать $log\space N$ подходящих дробей непрерывной дроби $\frac{e}{N}$. Одна из них будет равна $\frac{k}{d}$. Так как $ed-k\varphi(N)=1$, то $НОД(k,d)=1$ и значит $\frac{k}{d}$ - это сокращенная дробь. Это и есть линейный по времени алгоритм восстановления закрытого ключа $d$. **ЧТД**

## Непрерывные и подходящие дроби
*Непрерывная дробь*  - это выражение, полученное при помощи последовательного процесса представления числа как суммы его целочисленной части и обратного элемента по умножению к оставшейся части, далее представляя эту оставшуюся часть, как сумму целочисленной части и обратного элемента и так далее.
Пример:
Для действительного числа $x>0$ и целых положительных $a_{i}$, for $i=1,...,n$ 
$$x=a_{0}+\frac{1}{a_{1}+\frac{1}{a_{2}+\frac{1}{\ddots+\frac{1}{a_{n}}}}}$$ - 
это непрерывная дробь. Целые числа $a_0, a_1$, и т.д., называются *элементами* или *неполными частными* непрерывной дроби. Есть много способов записи непрерывных дробей, мы будем использовать следующую:
$$x=[a_0;a_1,a_2,...]$$
Непрерывная дробь может сформировать своё приближение при помощи первых элементов. Таки приближения называются *подходящими дробями*.
Очевидно, что для рационального $x$ количество таких подходящих дробей конечно finite.
Первые четыре подходящие дроби непрерывной дроби:
$$\frac{a_0}{1},\frac{a_1a_0+1}{a_1},\frac{a_2(a_1a_0+1)+a_0}{a_2a_1+1},\frac{a_3(a_2(a_1a_0+1)+a_0)+(a_1a_0+1)}{a_3(a_2a_1+1)+a_1}$$
Если существуют последующие подходящие дроби, они могут быть вычислены рекурсивно. $h_i$ обозначим числители, а $k_i$ - знаменатели. Тогда ряд подходящих дробей может быть вычислен следующим образом:
$$\frac{h_i}{k_i}=\frac{a_i h_{i-1}+h_{i-2}}{a_i k_{i-1}+k_{i-2}}$$
Реализуйте алгоритм для нахождения элементов и подходящих дробей для любого рационального числа.

*Подсказка: вы можете использовать алгоритм Евклида для вычисления элементов*

In [26]:
def get_k(a):
    k=[]
    k.append(1)
    k.append(a[1])
    for i in tqdm(range(len(a))):
#         print('{}/{}\r'.format(i,len(a)),end='')
        k.append(a[i]*k[i-1]+k[i-2])
    return k

def get_h(a):
    h=[]
    h.append(a[0])
    h.append(a[1]*a[0]+1)
    l=len(a)
    for i in tqdm(range(l)):
#         print('{}/{} \r'.format(i,l),end='')
        h.append(a[i]*h[i-1]+h[i-2])
    return h

In [27]:
# def getAppropFrac(x,n):
#     contFrac=contFrac(x)
#     h1,k1=(contFrac[0],1)
#     h2,k2=(contFrac[0]*contFrac[1]+1,contFrac[1])
#     for 
#     return 
    

Теперь, когда вы написали алгоритм поиска подходящих дробей, давайте рассмотрим, как при их помощи найти $p$ и $q$. Поскольку $\frac{k}{d}$  - это сокращенная дробь, знаменатель одной из подходящих дробей - это и есть закрытая экспонента $d$. Этого уже достаточно, чтобы расшифровать шифртекст, но мы может и факторизовать $N$. Мы также знаем $k$, а $\varphi(N)=\frac{ed-1}{k}$, значит мы можем вычислить $\varphi(N)$.
$$ N-\varphi(N)= pq-(p-1)(q-1)=pq-pq+p+q-1=p+q-1$$
$$q=N-\varphi(N)-p+1$$
$$N=pq=p(N-\varphi(N)-p+1)=pN-p\varphi(N)-p^2+p$$
$$p^2-p(N-\varphi(N)+1)+N=0$$
Получаем красивое квадратное урванение, корнями которого и будут $p$ и $q$

Давайте используем полученные знания на уязвимом сервере. Задача такая же, как и в blinding таске. Нужно отправить на сервер правильную подпись для сообщения 'flag', чтобы его получить.
Шаги:
1. Найти $d$ хитроумно используя непрерывные дроби
2. Найти $p$ и $q$
3. Подписать сообщение и послать на сервер
4. Profit

In [28]:
import socket
import re
from Crypto.Util.number import inverse,long_to_bytes,bytes_to_long
class VulnServerClient:
    def __init__(self,show=True):
        """Инициализация, подключаемся к серверу"""
        self.s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
        self.s.connect(('cryptotraining.zone',1338))
        if show:
            print (self.recv_until().decode())
    def recv_until(self,symb=b'\n>'):
        """Получение сообщения с сервера, по умолчанию до приглашения к вводу команды"""
        data=b''
        while True:
            
            data+=self.s.recv(1)
            if data[-len(symb):]==symb:
                break
        return data
    def get_public_key(self,show=True):
        """Получение открытого ключа с сервера"""
        self.s.sendall('public\n'.encode())
        response=self.recv_until().decode()
        if show:
            print (response)
        e=int(re.search('(?<=e: )\d+',response).group(0))
        N=int(re.search('(?<=N: )\d+',response).group(0))
        self.num_len=len(long_to_bytes(N))
        self.e,self.N=e,N
        return (e,N)
        
    def checkSignatureNumber(self,c,show=True):
        """Проверка сигнатуры (на сервере) для подписи в числовом представлении"""
        try:
            num_len=self.num_len
        except KeyError:
            print ('You need to get the public key from the server first')
            return
        signature_bytes=long_to_bytes(c,num_len)
        self.checkSignatureBytes(signature_bytes,show)
    
    def checkSignatureBytes(self,c,show=True):
        """Проверка сигнатуры (на сервере) для подписи в байтовом представлении"""
        try:
            num_len=self.num_len
        except KeyError:
            print ('You need to get the public key from the server first')
            return
        if len(c)>num_len:
            print ("The message is too long")
            return
        
        hex_c=c.hex().encode()
        self.s.sendall(b'flag '+hex_c+b'\n',)
        response=self.recv_until(b'\n').decode()
        
        if show:
            print (response)
        
        if response.find('Wrong')!=-1:
            print('Wrong signature')
            x=self.recv_until()
            if show:
                print (x)
            return
        flag=re.search('CRYPTOTRAINING\{.*\}',response).group(0)
        print ('FLAG: ',flag)
    def setPrivateKey(self,p,q):
        """Выставить закрытый ключ"""
        self.p=p
        self.q=q
        self.d=inverse(self.e,(p-1)*(q-1))
    
    def signMessageBytes(self,m):
        """Подписать сообщение, после того как найден закрытый ключ"""
        try:
            num_len=self.num_len
        except KeyError:
            print ('You need to get the public key from the server first')
            return
        if len(m)>num_len:
            print('m too long')
        if len(m)<num_len:
            m=bytes([0x0]*(num_len-len(m))) + m
        signature_bytes=long_to_bytes(pow(bytes_to_long(m),self.d,self.N))
        return signature_bytes
    
    def __del__(self):
        self.s.close()

In [29]:
vs=VulnServerClient()
(e,N)=vs.get_public_key()

Welcome to the Wiener attack task
 Private exponent d is just 500 bits, so you should be able to find it
Available commands:
help - print this help
public - show public key
flag <hex(signature(b'flag'))> - print flag 
quit - quit
>
e: 8839551043978443608398025896780793202003010536758606314296322410796293227009006377928704733115527530568335157503545935668140280687677644384828827774341791741675311017053491920564415641618138819406621038589908795280642494559623024398109068612298406882999181546747809372362753924367242833372319005809150642099445908295931797686993337044287442366446944633023395286044870591661230521198944254856540088737753911491026348538755316415798095543587870314159684746164449762012523139033017984305566198737145039701834266332544305477425758867699770558649969398014284113283810963997678267189504521186597841548911958269916619229615
N: 2125632243008959885433870068920027190367541374095231465087756330559520029821479584027940861064949753515591988619949409409411394632703885502835311

In [30]:
import numpy as np
from tqdm.auto import tqdm
tqdm().pandas()

HBox(children=(IntProgress(value=1, bar_style='info', max=1), HTML(value='')))

In [31]:
# def prime_factorization(n):
#     '''returns the prime factorization of a number; author: Wazim Karim'''
#     factors=[]
#     i = 2
#     while n >= i:
#         if i%10000000==0:
#             print(i)
#         if n%i == 0:  
#             factors.append(i) 
#             n = n//i
#             i=2 
#         else:
#             i = i+1 
#     return factors


In [32]:
N

21256322430089598854338700689200271903675413740952314650877563305595200298214795840279408610649497535155919886199494094094113946327038855028353113112375895879962300398509983041529946508972985551107580008642754638478483800698496181236032754477863099560877646304578656434264999846507664057649629041155688091673087737339579837961500153140350438182833535429065058704101283648761716829403428808106034001141877596343293223936738847038329364163550282619308760978230688807431401649344355691016571996821077683391062587473841296561195823674862584848815178470969038968457357643287439205370389631026298698109507847364723418309709

In [33]:
def contFract(N,th=0.000006):
    while True:
        yield int(N//1)
        f = N - (N//1)
        if f < th:  # or whatever precision you consider close enough to 0
            break         
        N = 1/f

In [56]:
a=list(contFract(e/N,th=0.000001))

In [57]:
e/N

0.4158551448892932

In [58]:
len(a)

765889

In [59]:
# def get_k(a):
#     k=[]
#     k.append(a[0])
#     k.append(a[0]*a[1]+1)
#     for i in tqdm(range(len(a))):
# #         print('{}/{}\r'.format(i,len(a)),end='')
#         k.append(a[i]*k[i-1]+k[i-2])
#     return k

In [38]:
# def get_h(a):
#     h=[]
#     h.append(1)
#     h.append(a[1])
#     l=len(a)
#     for i in tqdm(range(l)):
# #         print('{}/{} \r'.format(i,l),end='')
#         h.append(a[i]*h[i-1]+h[i-2])
#     return h

In [61]:
hs=get_h(a)

HBox(children=(IntProgress(value=0, max=765889), HTML(value='')))




In [62]:
ks=get_k(a)

HBox(children=(IntProgress(value=0, max=765889), HTML(value='')))




In [63]:
hs=hs[300_000:]
ks=ks[300_00:]

In [64]:
import math

In [65]:
len(hs)

465891

# Search p-q

In [66]:
from decimal import Decimal

In [67]:
def roots(a,b,c):
    disc = Decimal(b**2 - 4*a*c)
    print(disc)
    if disc >= 0:
        return ((-b + np.sqrt(disc))/(2*a),(-b - np.sqrt(disc))/(2*a))
    if disc < 0:
        return 'None'


![image.png](attachment:image.png)

In [68]:
from decimal import *

In [72]:
from gmpy2 import mpq,mpz




In [74]:
import gmpy2

In [None]:
res=[]
for k,h in tqdm(zip(ks,hs)):

    fiN = mpq(e*h-1)/mpq(k)
    n=mpz(N)

    a=1
    b=-1*(n-fiN+1)
    c = n
    disc = mpz(np.power(b,2) - 4*a*c)
    
    
    if disc <0:
        pass
    else:
        p=(-b + gmpy2.isqrt(disc))/(2*a)

        q=(-b - gmpy2.isqrt(disc))/(2*a)

        if n==p*q:
            res.append((p,q))
            break
                

HBox(children=(IntProgress(value=1, bar_style='info', max=1), HTML(value='')))

In [69]:
with localcontext() as ctx:
    ctx.prec = 50  # desired precision
    res=[]
    for k,h in tqdm(zip(ks,hs)):

        fiN = Decimal(e*h-1)/Decimal(k)
        n=Decimal(N)
        
        a=1
        b=-1*(n-fiN+1)
        c = n
        disc = np.power(b,2) - 4*a*c
        if disc <0:
            pass
        else:
            p=(-b + np.sqrt(disc))/(2*a)
            
            q=(-b - np.sqrt(disc))/(2*a)
            
            if n==p*q:
                res.append((p,q))
                break
                
            

HBox(children=(IntProgress(value=1, bar_style='info', max=1), HTML(value='')))

ERROR:root:Internal Python error in the inspect module.
Below is the traceback from this internal error.



Traceback (most recent call last):
  File "/Users/i.chumak/opt/anaconda3/lib/python3.7/site-packages/IPython/core/interactiveshell.py", line 3326, in run_code
    exec(code_obj, self.user_global_ns, self.user_ns)
  File "<ipython-input-69-5ffacabc57e2>", line 6, in <module>
    fiN = Decimal(e*h-1)/Decimal(k)
KeyboardInterrupt

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Users/i.chumak/opt/anaconda3/lib/python3.7/site-packages/IPython/core/interactiveshell.py", line 2040, in showtraceback
    stb = value._render_traceback_()
AttributeError: 'KeyboardInterrupt' object has no attribute '_render_traceback_'

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/Users/i.chumak/opt/anaconda3/lib/python3.7/site-packages/IPython/core/ultratb.py", line 1101, in get_records
    return _fixed_getinnerframes(etb, number_of_lines_of_context, tb_offset)
  File "/Users/i.ch

KeyboardInterrupt: 

In [None]:
# gmpy2

In [55]:
res

[]

In [53]:
Decimal(3)*Decimal(5)==Decimal(15)

True

In [None]:
# deget_fractions(a):
    k0 = 1
    k1=append(a[1])
    

In [None]:
def get_k(a):
    k=[]
    k0 = 1
    k1=append(a[1])
    for i in tqdm(range(len(a))):
#         print('{}/{}\r'.format(i,len(a)),end='')
        k.append(a[i]*k[i-1]+k[i-2])
    return k

def get_h(a):
    h=[]
    h.append(a[0])
    h.append(a[1]*a[0]+1)
    l=len(a)
    for i in tqdm(range(l)):
#         print('{}/{} \r'.format(i,l),end='')
        h.append(a[i]*h[i-1]+h[i-2])
    return h

In [1]:
r=[]
for h,k in tqdm(zip(hs[int(len(hs)/2):],ks[int(len(hs)/2):])):
    if math.gcd(k,h)==1:
        r.append(h)
        
        
    

NameError: name 'tqdm' is not defined

In [36]:
a=None
for h in tqdm(r):
    
    if (e*h)%N==1:
        print(h)
        a=h
#         r.append(h)
        break
    

HBox(children=(IntProgress(value=0, max=19249), HTML(value='')))




In [37]:
a

In [24]:
r

[]