# Starter

## Modular Exponentiation

Todas las operaciones en RSA implican [exponenciación modular](https://es.wikipedia.org/wiki/Exponenciaci%C3%B3n_modular).

La exponenciación modular es una operación que se utiliza ampliamente en criptografía y normalmente se escribe así: `2^10 mod 17`

Puedes pensar en esto como elevar un número a una determinada potencia (`2^10 = 1024`) y luego tomar el resto de la división por otro número (`1024 mod 17 = 4`). En Python hay un operador integrado para realizar esta operación: `pow(base, exponente, módulo)`.

En RSA, la exponenciación modular, junto con el problema de la factorización prima, nos ayuda a construir una "[función trampa](https://en.wikipedia.org/wiki/Trapdoor_function)". Esta es una función que es fácil de calcular en una dirección, pero difícil de hacer en sentido inverso a menos que tengas la información correcta. Nos permite cifrar un mensaje, y solo la persona con la clave puede realizar la operación inversa para descifrarlo.

Para agarrar la bandera, encuentra la solución a `101^17 mod 22663`

In [None]:
pow(101, 17, 22663)

## Public Keys

El cifrado RSA es una exponenciación modular de un mensaje con un exponente `e` y un módulo `N`, que normalmente es un producto de dos primos: `N=p⋅q`.

Juntos, el exponente y el módulo forman una "clave pública" RSA `(N,e)`. El valor más común para `e` es `0x10001` o `65537`.

"Cifre" el número `12` utilizando el exponente `e=65537` y los primos `p=17` y `q=23`. ¿Qué número obtiene como texto cifrado?

In [None]:
e=65537
p=17
q=23

pow(12, e, p*q)

## Euler's Totient

El RSA se basa en la dificultad de la factorización del módulo `N`. Si se pueden deducir los factores primos, entonces podemos calcular el [totiente de Euler](https://leimao.github.io/article/RSA-Algorithm/) de `N` y así descifrar el texto cifrado.

Dado `N=p⋅q` y dos primos:

```
p = 857504083339712752489993810777
q = 1029224947942998075080348647219
```

¿Cuál es el totiente de Euler `ϕ(N)`?



In [None]:
p = 857504083339712752489993810777
q = 1029224947942998075080348647219

QN = (p-1)*(q-1)
QN

## Private Keys

La clave privada `d` se utiliza para descifrar textos cifrados creados con la clave pública correspondiente (también se utiliza para "firmar" un mensaje, pero llegaremos a eso más adelante).

La clave privada es la pieza de información secreta, o "trampilla", que nos permite invertir rápidamente la función de cifrado. Si RSA está bien implementado, si no tienes la clave privada, la forma más rápida de descifrar el texto cifrado es factorizar el módulo, lo que es muy difícil de hacer para números enteros grandes.

En RSA, la clave privada es el [inverso multiplicativo modular](https://es.wikipedia.org/wiki/Inverso_multiplicativo_(aritm%C3%A9tica_modular)) del exponente `e` módulo `ϕ(N)`, el tociente de Euler de `N`.

Dados los dos primos:

```
p = 857504083339712752489993810777
q = 1029224947942998075080348647219
```

y el exponente `e=65537`, ¿cuál es la clave privada `d ≡ e^(-1) mod ϕ(N)`?





In [None]:
p = 857504083339712752489993810777
q = 1029224947942998075080348647219
e = 65537

d = pow(e, -1, (p-1)*(q-1))
d

## RSA Decryption

He cifrado un número secreto solo para tus ojos usando tus parámetros de clave pública:

```
N = 882564595536224140639625987659416029426239230804614613279163
e = 65537
```

Utilice la clave privada que encontró para estos parámetros en el desafío anterior para descifrar este texto cifrado:

```
c = 77578995801157823671636298847186723593814843845525223303932
```





In [None]:
p = 857504083339712752489993810777 # Desafio anterior
q = 1029224947942998075080348647219 # Desafio anterior
N = 882564595536224140639625987659416029426239230804614613279163
e = 65537
c = 77578995801157823671636298847186723593814843845525223303932

d = pow(e, -1, (p-1)*(q-1)) # Desafio anterior

pow(c, d, N)

## RSA Signatures

¿Cómo puedes asegurarte de que la persona que recibe tu mensaje sepa que lo escribiste tú?

Te han invitado a una cita y quieres enviarle un mensaje diciéndole que te encantaría ir, pero a un amante celoso no le hace mucha gracia.

Cuando envías tu mensaje diciendo que sí, tu amante celoso intercepta el mensaje y lo corrompe, ¡de modo que ahora dice que no!

Podemos protegernos de estos ataques firmando criptográficamente el mensaje.

Imagina que escribes un mensaje `m`. Cifras este mensaje con la clave pública de tu amigo: `c = m^(e0) mod N0`.

Para firmar este mensaje, calculas el hash del mensaje: `H(m)` y lo "cifras" con tu clave privada: S = H(m)^(d1) mod N1.

> En los criptosistemas reales, la [mejor práctica es utilizar claves separadas](https://crypto.stackexchange.com/questions/12090/using-the-same-rsa-keypair-to-sign-and-encrypt/12138#12138) para cifrar y firmar mensajes.

Tu amigo puede descifrar el mensaje usando su clave privada: `m = c^(d0) mod N0.` Usando tu clave pública, calcula `s = S^(e1) mod N1`.

Ahora, al calcular `H(m)` y compararlo con `s: assert H(m) == s`, puede asegurarse de que el mensaje que le enviaste es el mensaje que recibió. Mientras tu clave privada esté segura, nadie más podría haber firmado este mensaje.

Firma la bandera `crypto{Immut4ble_m3ssag1ng}` usando tu clave privada y la función hash `SHA256`.

> La salida de la función hash debe convertirse en un número que se pueda utilizar con las operaciones matemáticas RSA. Recuerde la útil función `bytes_to_long()` que se puede importar desde `Crypto.Util.number`.

Archivos de desafío:
- [private.key](https://cryptohack.org/static/challenges/private_0a1880d1fffce9403686130a1f932b10.key)

In [None]:
!pip3 install pycryptodome

from hashlib import sha256
from Crypto.Util.number import bytes_to_long

N = 15216583654836731327639981224133918855895948374072384050848479908982286890731769486609085918857664046075375253168955058743185664390273058074450390236774324903305663479046566232967297765731625328029814055635316002591227570271271445226094919864475407884459980489638001092788574811554149774028950310695112688723853763743238753349782508121985338746755237819373178699343135091783992299561827389745132880022259873387524273298850340648779897909381979714026837172003953221052431217940632552930880000919436507245150726543040714721553361063311954285289857582079880295199632757829525723874753306371990452491305564061051059885803
d = 11175901210643014262548222473449533091378848269490518850474399681690547281665059317155831692300453197335735728459259392366823302405685389586883670043744683993709123180805154631088513521456979317628012721881537154107239389466063136007337120599915456659758559300673444689263854921332185562706707573660658164991098457874495054854491474065039621922972671588299315846306069845169959451250821044417886630346229021305410340100401530146135418806544340908355106582089082980533651095594192031411679866134256418292249592135441145384466261279428795408721990564658703903787956958168449841491667690491585550160457893350536334242689
msg = 'crypto{Immut4ble_m3ssag1ng}'

bytes_msg = bytes([ord(x) for x in msg])
hash_msg = sha256(bytes_msg)
ct = pow(bytes_to_long(hash_msg.digest()), d, N)
ct

# Primes Part 1

## Factoring

Hasta ahora hemos estado usando el producto de primos pequeños para el módulo, pero los primos pequeños no son muy buenos para RSA ya que se pueden factorizar usando [métodos modernos](https://en.wikipedia.org/wiki/General_number_field_sieve).

¿Qué es un "primo pequeño"? Hubo un [desafío de factorización RSA](https://en.wikipedia.org/wiki/RSA_Factoring_Challenge) con premios en efectivo entregados a los equipos que pudieran factorizar módulos RSA. Esto le dio al público una idea de cuánto tiempo permanecerían seguros varios tamaños de clave. Las computadoras se vuelven más rápidas, los algoritmos mejoran, por lo que en criptografía siempre es prudente pecar de cauteloso.

En estos días, se recomienda usar primos que tengan al menos 1024 bits de longitud; multiplicar dos de esos 1024 primos da como resultado un módulo que tiene 2048 bits de largo. El RSA con un módulo de 2048 bits se llama RSA-2048.

Algunos dicen que para permanecer realmente a prueba de futuro se debe usar RSA-4096 o incluso RSA-8192. Sin embargo, aquí hay una desventaja; Se tarda más en generar números primos grandes, además, las exponenciaciones modulares son previsiblemente más lentas con un módulo grande.

Factorice el número de 150 bits `510143758735509025530880200653196460532653147` en sus dos primos constituyentes. Dé el más pequeño como su respuesta.

Recursos:
- [¿Qué tamaño de clave RSA se considera segura hoy en día?](https://crypto.stackexchange.com/questions/1978/how-big-an-rsa-key-is-considered-secure-today/1982#1982)
- [primefac-fork](https://github.com/elliptic-shiho/primefac-fork)

In [None]:
#!pip install factordb-python

from factordb.factordb import FactorDB

n=510143758735509025530880200653196460532653147

factors = FactorDB(n)
factors.get_factor_list()
factors.connect()
factors_numbers = factors.get_factor_list()

min(factors_numbers)

## Inferius Prime

Aquí está mi implementación RSA superfuerte, ya que tiene 1600 bits de fuerza y debería ser inquebrantable... ¡al menos eso creo!

Archivos de desafío:
- [inferius.py](https://cryptohack.org/static/challenges/inferius_2facb420dc30897696869e3fd11b4b4f.py)
- [output.txt](https://cryptohack.org/static/challenges/output_cf39018a5db981bd454ddcdcf6595167.txt)

In [None]:
!pip3 install pycryptodome
!pip3 install factordb-python

from factordb.factordb import FactorDB
from Crypto.Util.number import inverse, long_to_bytes


n = 984994081290620368062168960884976209711107645166770780785733
e = 65537
ct = 948553474947320504624302879933619818331484350431616834086273

factors = FactorDB(n)
factors.get_factor_list()
factors.connect()
factors_numbers = factors.get_factor_list()

phi_n = (factors_numbers[0] - 1) * (factors_numbers[1] - 1)

d = inverse(e, phi_n)

msg = long_to_bytes(pow(ct, d, n))
msg

## Monoprime

¿Por qué todo el mundo está tan obsesionado con multiplicar dos números primos para obtener RSA? ¿Por qué no usar solo uno?

Archivos de desafío:
  - [output.txt](https://cryptohack.org/static/challenges/output_086036e35349a406b94bfac9a7af6cca.txt)

Recursos:
  - [¿Por qué necesitamos en RSA que el módulo sea producto de 2 primos?](https://crypto.stackexchange.com/questions/5170/why-do-we-need-in-rsa-the-modulus-to-be-product-of-2-primes)


In [17]:
#!pip3 install pycryptodome

from Crypto.Util.number import inverse, long_to_bytes

n = 171731371218065444125482536302245915415603318380280392385291836472299752747934607246477508507827284075763910264995326010251268493630501989810855418416643352631102434317900028697993224868629935657273062472544675693365930943308086634291936846505861203914449338007760990051788980485462592823446469606824421932591
e = 65537
ct = 161367550346730604451454756189028938964941280347662098798775466019463375610700074840105776873791605070092554650190486030367121011578171525759600774739890458414593857709994072516290998135846956596662071379067305011746842247628316996977338024343628757374524136260758515864509435302781735938531030576289086798942

d = inverse(e, n-1)

msg = long_to_bytes(pow(ct, d, n))
msg

b'crypto{0n3_pr1m3_41n7_pr1m3_l0l}'