<a href="https://colab.research.google.com/github/hdpark1208/StudyCode/blob/main/CryptoWorkout_Week11.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>

# RSA에 대한 공격들

1. 작은 지수에 대한 공격 
2. 매우 가까운 두 소수 - Fermat 소인수분해법
3. $p-1$이 작은 소인수들만 갖는 경우 - Pollard $p-1$ 소인수분해법


## 1. 작은 지수에 대한 공격

$𝑞<𝑝<2𝑞, 𝑑<\frac{1}{3} 𝑛^{1/4}$인 경우 $e/n$의 연분수를 이용해서 공격가능합니다. 5주차 실습에서 본 코드를 이용합시다.

In [None]:
def Fraction_to_CF(a, b):    #a/b 의 연분수
  if b==0:
    return []
  return [a//b]+Fraction_to_CF(b, a%b)

def CF_to_Fraction(l):
  if len(l)==1:
    return (l[0], 1)
  q = l[0]
  a1, b1 = CF_to_Fraction(l[1::])
  return (q*a1+b1, a1)

In [None]:
print(Fraction_to_CF(3,23),Fraction_to_CF(23,3))

[0, 7, 1, 2] [7, 1, 2]


In [None]:
n = 1966981193543797
e = 323815174542919
l = Fraction_to_CF(e, n)

for i in [2, 4, 6]:
  print(CF_to_Fraction(l[:i]))


(1, 6)
(27, 164)
(121, 735)


In [None]:
print(CF_to_Fraction(l[:4]),CF_to_Fraction(l[:8]))

(27, 164) (578, 3511)


$d$값의 후보이므로 분수 $a/b$에서 분모 $b$가 짝수가 되면 안되고 
홀수인 경우 이로 부터 얻는 $(eb - 1)/a$값은 $\phi(n)$ 후보이므로 정수가 되어야 한다.

In [None]:
(e*735 - 1)/121

1966976473463185.8

In [None]:
a, b = CF_to_Fraction(l[:8])
C = (e*b - 1)/a; print(C)

1966981103495136.0


정확한 제곱근 계산을 위해 decimal 라이브러리 사용
`getcontext().prec = 200`라는 명령어로 유효숫자를 200개로 설정한다.

보통의 제곱근 명령어 `sqrt()`는 유효숫자가 많지 않아, 큰 수의 경우 
오차가 발생한다.
`b=Decimal(a)`라는 명령어로 정수 혹은 실수형 `a`를 Decimal형 `b`로 변환하고 `b.sqrt()`라는 명령어로 제곱근을 계산하면 된다.
출처: https://docs.python.org/ko/3/library/decimal.html 

In [None]:
import math
from decimal import *
getcontext().prec = 200 # 유효숫자를 200개로 설정

In [None]:
C = Decimal(e*b - 1)/Decimal(a); 
b = -Decimal(n) + C - Decimal(1)
c = Decimal(n)
dis = Decimal(b**2 - 4*c)
ans1 = (-b-dis.sqrt())/Decimal(2)
ans2 = (-b+dis.sqrt())/Decimal(2)
print(int(ans1), int(ans2))
print(int(ans1*ans2)) # 두 수를 곱해서 원래 n 값이 나오는지 확인

37264873 52783789
1966981193543797


## 2. 매우 가까운 두 소수 - Fermat 소인수분해법

$n$이 만약 차이가 매우 작은 두 소수 $p, q$의 곱일 경우에 효과적인 소인수분해법
$n+1^2, n+2^2, ..., $들을 차례로 제곱수인지를 확인


 

In [None]:
n = 152415787501905985701881832150835089037858868621211004433
for i in range(1000):
  num = Decimal(n)+Decimal(i)**2
  if int(num.sqrt())**2 == num:
    print(int(num.sqrt()), i)
    break

12345678900000031415926500087 56


In [None]:
x = 12345678900000031415926500087 
y = 56
(x+y)*(x-y)

152415787501905985701881832150835089037858868621211004433

## 3. $p-1$이 작은 소인수들만 갖는 경우 - Pollard $p-1$ 소인수분해법

$a>1$ 선택(보통 2). 한계값 $B$ 선택
$b \equiv a^{B!} \pmod{n}$ 계산 후,
$d = gcd(b-1, n)$

만약 $1<d<n$이면, 이 값이 $n$의 자명하지 않은 인수

In [None]:
n = 618240007109027021
B = 30 
# p-1의 모든 소인수가 30보다 작은 경우 유효
# 필요하다면 B 값을 수정 
    
a = 2
num = a
for i in range(2, B+1):
  num = pow(num, i, n)
  print(f"num = {num}")
math.gcd(num-1, n)

num = 4
num = 64
num = 16777216
num = 450550181259271367
num = 604298207462918147
num = 598720820422102864
num = 274611843464129643
num = 72133237020013337
num = 148436013347009865
num = 8079434219586591
num = 553277113757700058
num = 240727176545838822
num = 476571126664304217
num = 50186131637814569
num = 206685778090249541
num = 166708615613348433
num = 75982165573347870
num = 230604435182173265
num = 320502606609578823
num = 39097402658973775
num = 54114353493781488
num = 345872629267591076
num = 617907375224114552
num = 76570620490205645
num = 436095033748274611
num = 247370059765895699
num = 292844808823276605
num = 509437869012629080
num = 306005129310210882


250387201

위에서 구한 값 $d = gcd(b-1, n)$이 정말로 $n$의 자명하지 않은(즉, 1이나 $n$이 아닌) 약수를 주는 지 확인해보자

In [None]:
print(250387201, n//250387201, 250387201*(n//250387201))

250387201 2469135821 618240007109027021


## 실습문제 

`n = 8834884587090814646372459890377418962766907`을 $p-1$방법으로 소인수분해 하세요.

In [None]:
n = 8834884587090814646372459890377418962766907
B = 73
# p-1의 모든 소인수가 30보다 작은 경우 유효
# 필요하다면 B 값을 수정 
    
a = 2
num = a
for i in range(2, B+1):
  num = pow(num, i, n)
  #print(f"num = {num}")
math.gcd(num-1, n)

print(364438989216827965440001, n//364438989216827965440001, 364438989216827965440001*(n//364438989216827965440001))

364438989216827965440001 24242424242468686907 8834884587090814646372459890377418962766907


## 실습문제

1. 작은 지수에 대한 공격
2. 매우 가까운 두 소수 - Fermat 소인수분해법
3. $p-1$이 작은 소인수들만 갖는 경우 - Pollard $p-1$ 소인수분해법

위의 3가지 공격방법으로 $n$을 소인수분해 할 수 있는 세 쌍의 $n$ 값과 $e$ 값을 생성해서,
 아래 링크의 자신의 목록에 작성하세요.

 sympy 라이브러리의 number theory 부분 공식문서:
 https://docs.sympy.org/latest/modules/ntheory.html
 
공유문서 링크: https://docs.google.com/spreadsheets/d/1GnAEYadB1ysCKIKOb7OkHm3aFhS0GfJmqJUSkTNqWZI/edit?usp=sharing




In [None]:
#작은 지수에 대한 공격
from sympy import *
q = randprime(2**64,2**65-1)
p = randprime(q,2*q)
n=p*q
m=(p-1)*(q-1)
for i in range(2**10,2**100):
  e=i
  if math.gcd(e,m)==1:
    d = mod_inverse(e,m)
    if d<(1/3)*n**(1/4):
      print(p,q,n)
      break
    else:
      continue

#매우 가까운 ...
q = randprime(2**64,2**65-1)
p = randprime(q,q+100)
e = 5153
m = (q-1)*(p-1)
print(p,q)
n = p*q
for i in range(1000):
  num = Decimal(n)+Decimal(i)**2
  if int(num.sqrt())**2 == num:
    print(int(num.sqrt()), i)
    break
if math.gcd(e,m)==1:
  print("Okay")
    
print(n,num)

# p-1
n = 6941288458709081464637245989037741513
B = 73
# p-1의 모든 소인수가 30보다 작은 경우 유효
# 필요하다면 B 값을 수정 
e=5153
m = 43282*160369855571681294379715962133810
a = 2
num = a
for i in range(2, B+1):
  num = pow(num, i, n)
  #print(f"num = {num}")
math.gcd(num-1, n)
print(43283, n//43283, 43283*(n//43283))
if math.gcd(e,m)==1:
  print("Okay")


KeyboardInterrupt: ignored

### sympy 라이브러리 명령어들
 - `randprime(a, b)`: 두 수 `a, b`사이의 임의의 소수 생성
 - `mod_inverse(a, n)`: 법 `n`에 대한 `a`의 역수 (즉, $ab \equiv 1 \pmod{n}$인) $b$ 계산 
 - `nextprime(a)`: 자연수 `a`보다 큰 첫번째 소수 생성
 - `isprime(a)`: 자연수 `a`가 소수인지 판정

In [None]:
from sympy import *
p = randprime(2**64, 2**65-1)

print(p)

27587380529447574571


In [None]:
q = randprime(2**64, 2**65-1)
print(q)
isprime(q)

33536761674491895091


True

풀이 3. (아이디어) 

1. $B=50$ 정도로 고려하고 50이하의 소수들의 목록을 구한후, 
2. 각 소수별로 $B!$을 나누는 최대지수를 구한 후
3. 그 최대지수까지 그 소수들의 적절한 곱들에 1을 더한 값이 소수가 되는 경우를 찾아보자

In [None]:
l = list(primerange(1, 50))
print(l)

[2, 3, 5, 7, 11, 13, 17, 19, 23, 29, 31, 37, 41, 43, 47]


In [None]:
max_exponent = []
for p in l:
  B = 50
  sum = 0
  while B > 0:
    B = int(B/p)
    sum = sum+B
  max_exponent.append(sum)

print(max_exponent)

[47, 22, 12, 8, 4, 3, 2, 2, 2, 1, 1, 1, 1, 1, 1]


In [None]:
testprime = 1
for i in range(len(l)):
  j = max_exponent[i]
  testprime *= l[i]**j

print(testprime)

30414093201713378043612608166064768844377641568960512000000000000
