# T√©cnicas e algoritmos de ataques ao RSA

## Fun√ß√µes Auxiliares

In [9]:
from Crypto.Util.number import getPrime, long_to_bytes
from typing import Callable
import time
from tqdm import tqdm
import random 

with open('words_pt.txt', 'r', encoding='utf-8') as file:
    words = [line.strip() for line in file if line.strip()]

In [10]:
## Fun√ß√µes Aritm√©tricas
def isqrt(n):
    """
    Calcula a raiz quadrada inteira de n usando o m√©todo de Newton.
    
    Par√¢metros:
    n (int): O n√∫mero cujo valor inteiro da raiz quadrada ser√° calculado.

    Retorna:
    int: A raiz quadrada inteira de n.
    """
    x = n
    y = (x + n // x) // 2
    while y < x:
        x = y
        y = (x + n // x) // 2
    return x

def is_perfect_square(n):
    '''
    If n is a perfect square it returns sqrt(n),
    
    otherwise returns -1
    '''
    h = n & 0xF; #last hexadecimal "digit"
    
    if h > 9:
        return -1 # return immediately in 6 cases out of 16.

    # Take advantage of Boolean short-circuit evaluation
    if (h != 2 and h != 3 and h != 5 and h != 6 and h != 7 and h != 8):
        # take square root if you must
        t = isqrt(n)
        if t*t == n:
            return t
        else:
            return -1
    
    return -1

def totiente(p: int, q: int):
    '''
    Fun√ß√£o totiente em pq
    '''
    return (p-1)*(q-1)

def gcd(a: int,b: int):
    '''
    MDC de a e b
    '''
    a,b=(b,a) if a<b else (a,b)
    while b:
        a,b=b,a%b
    return a

def egcd(a: int, b: int): 
    '''
    Algoritmo Extendido de Euclides
    Retorna x, y, mdc(a,b) tal que ax + by = mdc(a,b)
    '''
    u, u1 = 1, 0
    v, v1 = 0, 1
    while b:
        q = a // b
        u, u1 = u1, u - q * u1
        v, v1 = v1, v - q * v1
        a, b = b, a - q * b
    return u, v, a

def modInverse(e: int, n: int):
    '''
    d tal que: de = 1 (mod n)
    Assumimos que √© verdade que e √© coprimo a n
    '''
    return egcd(e,n)[0]%n

def generate_e(p,q):
    phi_n = totiente(p,q)
    e = random.randint(2, phi_n - 1)
    while gcd(e, phi_n) != 1:
        e = random.randint(2, phi_n - 1)
    return e

def get_d_from_primes(e,p,q):
    return pow(e, -1, (p - 1) * (q - 1))

In [11]:
ch = 120
def GenerateKeys(small_d=None, small_e=None, close_primes=None, bits_size=1024):
    if close_primes == True:
        p = getPrime(15)
        q = getPrime(15)
        e = generate_e(p,q)
        d= get_d_from_primes(e,p,q)
    else:
        if small_e == True:
            p = getPrime(bits_size)
            q = getPrime(bits_size) 
            e = 5
            d= get_d_from_primes(e,p,q)

    N = p*q
    print("="*ch)
    print(f"Chave Privada Gerada: (p = {p}, q = {q}, d = {d})")
    print(f"Chave P√∫blica Gerada: (N = {N}, e = {e})")
    print("="*ch)
    return p,q,d,N,e

def ApplyMethod(function: Callable[[int, int], tuple], N: int, e: int):
    start_time = time.time()  
    p,q,d = function(N,e)
    print("="*ch)
    print(f"Chave privada encontrada: (p = {p}, q = {q}, d = {d})")
    print(f"Tempo necess√°rio: {time.time() - start_time} segundos.")
    print("="*ch)
    return p,q,d

def GenerateMessage(word_count):
    message = ' '.join(random.choice(words) for _ in range(word_count))
    print(f"Mensagem Enviada: {message}")
    print("="*ch)
    return message

    
def CriptMessage(message: str, N: int, e:int):
    max_block_size = (N.bit_length() - 1) // 8 

    message = message.encode('utf-8')
    blocks = [message[i:i + max_block_size] for i in range(0, len(message), max_block_size)]

    # Criptografa cada bloco individualmente
    ciphertext_blocks = []
    for block in blocks:
        int_ = int.from_bytes(block, byteorder='big')  # Converte o bloco para inteiro
        c = pow(int_, e, N)  # Criptografa o bloco
        ciphertext_blocks.append(c)
    return ciphertext_blocks

def DecryptMessage(ciphertext_blocks, d, n):
        """
        Descriptografa uma lista de blocos criptografados.
        
        Args:
            ciphertext_blocks (list): Lista de blocos criptografados como inteiros.
        
        Returns:
            str: Mensagem descriptografada como string.
        """

        # Descriptografa cada bloco
        plaintext_bytes = b""
        for block in ciphertext_blocks:
            plaintext_int = pow(block, d, n)  # Descriptografa o bloco
            block_bytes = plaintext_int.to_bytes((plaintext_int.bit_length() + 7) // 8, byteorder='big')
            plaintext_bytes += block_bytes  # Junta os bytes de cada bloco

        message = plaintext_bytes.decode('utf-8')  # Converte para string
        print(f"Mensagem Decifrada: {message}")
        print("="*ch)
        return message

def IntToMessage(self, ciphertext_blocks):
        """
        Descriptografa uma lista de blocos criptografados.
        
        Args:
            ciphertext_blocks (list): Lista de blocos criptografados como inteiros.
        
        Returns:
            str: Mensagem descriptografada como string.
        """
        d, n = self.private_key

        # Descriptografa cada bloco
        plaintext_bytes = b""
        for block in ciphertext_blocks:
            plaintext_int = pow(block, d, n)  # Descriptografa o bloco
            block_bytes = plaintext_int.to_bytes((plaintext_int.bit_length() + 7) // 8, byteorder='big')
            plaintext_bytes += block_bytes  # Junta os bytes de cada bloco

        return plaintext_bytes.decode('utf-8')  # Converte para string

# For√ßa Bruta 

- **Descri√ß√£o**: Realiza fatora√ß√£o de um n√∫mero $ N $ identificando seus divisores por meio de tentativa e erro. Testa sequencialmente poss√≠veis divisores at√© encontrar fatores primos $p $ e $ q $.  
- **Ponto Forte**: Funciona bem para n√∫meros pequenos ou quando $p $ e $ q $ s√£o pr√≥ximos.  
- **Ponto Fraco**: √â ineficiente para n√∫meros grandes, j√° que o tempo de execu√ß√£o cresce rapidamente com o tamanho de \( N \).  
- **Passo a Passo**:  
    1. Testa divisores sequencialmente a partir de  2.  
    2. Verifica se $ N $ √© divis√≠vel por cada divisor $ t $.  
    3. Se $N \% t = 0$, retorna $ t $ e $ N/t $.  
- **Tempo de Execu√ß√£o**: $ O(\sqrt{N}) $ no pior caso, onde $ N $ √© primo.  
- **Refer√™ncias**:  
    - Rivest, R. L., Shamir, A., \& Adleman, L. (1978). *A Method for Obtaining Digital Signatures and Public-Key Cryptosystems*.


In [12]:
def for√ßa_bruta(N, e):
    """
    Realiza fatora√ß√£o de um n√∫mero N que √© igual √† multiplica√ß√£o de dois primos, 
    usando busca por divisores. 

    Este m√©todo funciona bem para n√∫meros com fatores relativamente pequenos.

    Exemplo: 
        N = 1039 * 58484513 = 60765409007, e = 7.
    
    Retorna:
        (p, q, d): Dois fatores de N, onde p * q = N. 

    Caso N seja primo, retorna:
        (N, 1, d)
    """

    # Verifica se N √© divis√≠vel por 2 (paridade)
    if N % 2 == 0:
        d = get_d_from_primes(e, 2, N // 2)
        return 2, N // 2, d

    # Define o limite da busca como a raiz quadrada de N
    limite = isqrt(N)

    # Itera apenas sobre n√∫meros √≠mpares a partir de 3 at√© a raiz quadrada de N
    for t in range(3, limite + 1, 2):
        if N % t == 0:  # Verifica se t √© um divisor de N
            d = get_d_from_primes(e, t, N // t)
            return t, N // t , d

    # Caso nenhum divisor seja encontrado, N √© primo
    d = get_d_from_primes(e, N, 1)
    return N, 1 , d

In [13]:
p, q, d, N, e = GenerateKeys(small_e=True, bits_size=10)
message = GenerateMessage(10)
ciphertext_blocks = CriptMessage(message, N, e)

Chave Privada Gerada: (p = 739, q = 523, d = 308189)
Chave P√∫blica Gerada: (N = 386497, e = 5)
Mensagem Enviada: cinco estas pr√≥ximo n√≥s ter segunda pelos sim nos tiveram


In [14]:
p, q, d = ApplyMethod(for√ßa_bruta, N, e)
message = DecryptMessage(ciphertext_blocks, d, N)

Chave privada encontrada: (p = 523, q = 739, d = 308189)
Tempo necess√°rio: 0.0 segundos.
Mensagem Decifrada: cinco estas pr√≥ximo n√≥s ter segunda pelos sim nos tiveram


# M√©todo de Fatora√ß√£o de Fermat

- **Descri√ß√£o**: Baseia-se na ideia de que qualquer n√∫mero $ n $ √≠mpar pode ser expresso como $ n = a^2 - b^2 $. O objetivo √© encontrar valores de $a $ e $ b $ que satisfa√ßam essa rela√ß√£o.  
- **Ponto Forte**: Muito eficiente quando  $p $ e $ q$ s√£o pr√≥ximos, ou seja, $ |p - q|$ √© pequeno.  
- **Ponto Fraco**: Desempenho ruim quando $ p $ e $ q$ s√£o muito distantes.  
- **Passo a Passo**:  
    1. Inicia com $a = \lceil \sqrt{N} \rceil $.  
    2. Calcula $b^2 = a^2 - N $.  
    3. Verifica se $ b^2 $ √© um quadrado perfeito.  
    4. Caso seja, retorna $(a - b) $ e $ (a + b)$.  
- **Refer√™ncias**:  
    - Antunes, Cristiane Medina. (2002). *M√©todos de Fatora√ß√£o de N√∫meros Inteiros*, dispon√≠vel em (https://lume.ufrgs.br/bitstream/handle/10183/1626/000353932.pdf).


In [15]:
def fermat_factorization(N, e):
    """
    Realiza a fatora√ß√£o de Fermat em um n√∫mero composto N.

    Assumimos que N √© um produto de dois primos √≠mpares pr√≥ximos, p e q,
    tal que N = p * q e p ‚âà q.

    Par√¢metros:
    N (int): O n√∫mero a ser fatorado.
    e (int): O expoente p√∫blico do RSA.

    Retorna:
    tuple: Os fatores primos p e q de N e a chave privada d.

    Lan√ßa:
    AssertionError: Se N n√£o for igual ao produto dos fatores encontrados.
    """
    # Caso trivial: N √© par
    if N % 2 == 0:
        p, q = 2, N // 2
        d = get_d_from_primes(e, p, q)  # Calcula d usando p e q
        return p, q, d
    
    # Inicia com x como a raiz quadrada inteira de N
    x = isqrt(N)

    # Verifica se x j√° √© um divisor direto de N
    if N % x == 0:
        p, q = x, N // x
        d = get_d_from_primes(e, p, q)  # Calcula d usando p e q
        return p, q, d

    # Itera para encontrar a decomposi√ß√£o N = a¬≤ - b¬≤
    for i in range(x + 1, 1 + (N + 1) // 2):
        val = i**2 - N  # Calcula b¬≤ = a¬≤ - N
        y = isqrt(val)  # Calcula y como a raiz quadrada de b¬≤

        # Verifica se val √© um quadrado perfeito
        if y**2 == val:
            p, q = i - y, i + y
            d = get_d_from_primes(e, p, q)  # Calcula d usando p e q
            return p, q, d  # Retorna os fatores (p, q) e a chave privada d

    # Se nenhum fator for encontrado, N √© primo
    d = get_d_from_primes(e, N, 1)  # Calcula d para o caso de N ser primo
    return N, 1, d


In [16]:
p,q,d,N,e = GenerateKeys(close_primes=True)
mensagem_original = GenerateMessage(15) # Gera uma frase de 15 polavras
mensagem_criptografada = CriptMessage(mensagem_original, N, e)

Chave Privada Gerada: (p = 19727, q = 24001, d = 285458581)
Chave P√∫blica Gerada: (N = 473467727, e = 11093821)
Mensagem Enviada: cada d√£o assim aqui todas certamente uma teu isto porque n√≥s tivemos nessa oito menor


In [17]:
p,q,d = ApplyMethod(fermat_factorization, N, e)
m = DecryptMessage(mensagem_criptografada, d, N)

Chave privada encontrada: (p = 19727, q = 24001, d = 285458581)
Tempo necess√°rio: 0.0 segundos.
Mensagem Decifrada: cada d√£o assim aqui todas certamente uma teu isto porque n√≥s tivemos nessa oito menor


# Ataque com o Expoente Pequeno ($e $)

- **Descri√ß√£o**: Explora fraquezas na escolha de um expoente p√∫blico pequeno ($ e $), geralmente para acelerar o tempo de cifragem.  
- **Ponto Forte**: Muito eficaz quando $ e $ √© pequeno e a mensagem $ m $ cifrada n√£o √© suficientemente aleat√≥ria ou protegida.  
- **Ponto Fraco**: N√£o funciona se as mensagens s√£o devidamente aleatorizadas com preenchimento.  
- **Passo a Passo**:  
    1. Verifica se $ m^e < N$.  
    2. Recupera $ m $ extraindo diretamente a raiz $ e$-√©sima de $ c$.  
- **Refer√™ncias**:  
    - Boneh, D., \& Durfee, G. (1999). *Cryptanalysis of RSA with Small Public Exponent*.  
    - *Low Exponent Attack* por Ams Ghimire, dispon√≠vel em (https://amsghimire.medium.com/low-exponent-attack-511bf5d227fc).


In [28]:
from gmpy2 import iroot

def small_e_attack(c: int, e: int) -> int:
    """
    Realiza o ataque de expoente pequeno (small e attack) ao m√≥dulo RSA.
    Para um expoente pequeno e (e.g., e = 3),
    se a mensagem m elevada a e for menor que o m√≥dulo n, a cifra c pode ser
    revertida diretamente extraindo a raiz e-√©sima de c.

    Par√¢metros:
    c (int): O valor cifrado (ciphertext).
    e (int): O expoente p√∫blico do RSA.

    Retorna:
    int: A mensagem decifrada.
    """
    return int(iroot(c, e)[0])

In [22]:
p,q,d,N,e = GenerateKeys(small_e=True)
mensagem_original = GenerateMessage(5) # Gera uma frase de 15 polavras
mensagem_original = int.from_bytes(mensagem_original.encode(), "big")
mensagem_criptografada = pow(mensagem_original,e, N)

Chave Privada Gerada: (p = 143757170544547332958427614390910807109876752232837124873160961835023364529339296649637837416765147112012888246162683342938190216977745569593532614723376543390825611176866755459819123213648251817033593537194319112391784959876123475170486844526377115623226235574979191771622688521394888211603226183057710263819, q = 156997765735918388763887365296007919861674663961977573607744994576564391813766171413995723648611579334830821251595644844681181958706437424082950093536982639945932585222530700992163316393926130323550385833771959651453539151619276094829921871645666544765529782737160218691562389237979893566357467746807756287709, d = 4513910916802261906316523016760658467464766378704871672162479115551282718666352480306067947689363851047086911462627206908918880704623315366406730765382902557123535634717025400550385983504108769867054150010600156246670555858058838309229141090771606138996496892125923022099553240765448330006965351060418627799924655374732786109702133636826258054

In [23]:
decrypted = small_e_attack(mensagem_criptografada, e)
decrypted = decrypted.to_bytes((decrypted.bit_length() + 7) // 8, "big")
print(f"Mensagem decifrada: {decrypted.decode()}")

Mensagem decifrada: algo custa se oitavo pode


# M√©todo de Pollard p-1


- **Descri√ß√£o**: O m√©todo \( p-1 \) de Pollard √© baseado no Pequeno Teorema de Fermat e foi proposto por J.M. Pollard em 1974. Esse m√©todo permite a fatora√ß√£o de um n√∫mero $ n $ usando um fator primo $ p $ de $ n $ tal que $p-1$ divide $ k!$, onde $ k $ √© um n√∫mero inteiro positivo n√£o muito grande, e os primos que dividem $ p-1 $ s√£o relativamente pequenos.
- **Ponto Forte**: Muito eficaz para n√∫meros onde $ p-1 $ possui pequenos fatores primos.  
- **Ponto Fraco**: Ineficiente para n√∫meros onde $ p-1 $ possui grandes fatores primos.  
- **Passo a Passo**:  
   1. **Escolha de um n√∫mero base $ a $**  
   Comece escolhendo uma base $a $, que pode ser, por exemplo, $ a = 2 $.

   2. **C√°lculo de $ a^{k!} \mod n $**  
   Calcule $ a^{k!} \mod n $, onde $ k! $ √© o fatorial de um n√∫mero $ k $, que √© o produto dos n√∫meros primos at√© um limite $ B $.

   3. **Verifica√ß√£o de $\gcd(a^{k!} - 1, n) > 1 $**  
   Aplique o algoritmo de Euclides para calcular o maior divisor comum ($ \gcd $) entre $ a^{k!} - 1 $ e $ n $. Se o resultado for maior que 1, significa que encontramos um divisor n√£o trivial de $ n $.


- **Refer√™ncias**:  
    - Pollard, J. M. (1974). *A Monte Carlo Method for Factorization*.  
    - Antunes, Cristiane Medina. (2002). *M√©todos de Fatora√ß√£o de N√∫meros Inteiros*, dispon√≠vel em (https://lume.ufrgs.br/bitstream/handle/10183/1626/000353932.pdf).


In [24]:
import os
import sys
import math
from binascii import hexlify
from gmpy2 import (
    mpz, random_state, mpz_urandomb, next_prime, is_prime, lcm, powmod, fac
)

# Configura√ß√£o de debug
_DEBUG = False

# Configura√ß√£o da flag e do estado inicial do gerador aleat√≥rio
mensagem = "M√©todo de Pollard's p-1!!!"
mensagem = mpz(hexlify(mensagem.encode()), 16)  # Convertendo a flag para um inteiro
SEED = mpz(hexlify(os.urandom(32)).decode(), 16)
STATE = random_state(SEED)

def get_prime(state, bits):
    """
    Gera um n√∫mero primo com o n√∫mero de bits especificado.

    Par√¢metros:
    - state: Estado do gerador aleat√≥rio.
    - bits (int): Quantidade de bits do primo.

    Retorna:
    - mpz: Um n√∫mero primo.
    """
    return next_prime(mpz_urandomb(state, bits) | (1 << (bits - 1)))

def get_smooth_prime(state, bits, smoothness=16):
    """
    Gera um primo "smooth", ou seja, um n√∫mero primo que √© pr√≥ximo de
    um produto de fatores pequenos.

    Par√¢metros:
    - state: Estado do gerador aleat√≥rio.
    - bits (int): Quantidade de bits desejada para o primo.
    - smoothness (int): N√∫mero de bits dos fatores pequenos.

    Retorna:
    - tuple: O primo gerado e seus fatores.
    """
    p = mpz(2)
    p_factors = [p]

    # Construir produto inicial de fatores pequenos
    while p.bit_length() < bits - 2 * smoothness:
        factor = get_prime(state, smoothness)
        p_factors.append(factor)
        p *= factor

    bitcnt = (bits - p.bit_length()) // 2

    # Ajustar at√© atingir o n√∫mero desejado de bits
    while True:
        prime1 = get_prime(state, bitcnt)
        prime2 = get_prime(state, bitcnt)
        candidate = p * prime1 * prime2
        if candidate.bit_length() < bits:
            bitcnt += 1
            continue
        if candidate.bit_length() > bits:
            bitcnt -= 1
            continue
        if is_prime(candidate + 1):
            p_factors.append(prime1)
            p_factors.append(prime2)
            p = candidate + 1
            break

    p_factors.sort()
    return p, p_factors

# Par√¢metros RSA
e = 0x10001

# Gerar os primos p e q com fatores smooth
while True:
    p, p_factors = get_smooth_prime(STATE, 1024, 16)
    if len(p_factors) != len(set(p_factors)):
        continue

    q, q_factors = get_smooth_prime(STATE, 1024, 17)
    if len(q_factors) != len(set(q_factors)):
        continue

    factors = p_factors + q_factors
    if e not in factors:
        break

# Calcular os valores de RSA
n = int(p * q)
m = math.lcm(p - 1, q - 1)
d = pow(e, -1, m)
# Cifrar a mensagem
c = pow(int(mensagem), e, n)

In [25]:
def pollards_p_minus_1(n, e, c, a=2, B=65535):
    """
    Realiza a fatora√ß√£o de um n√∫mero composto `n` usando o m√©todo de Pollard's p-1.
    Depois utiliza os fatores para decifrar uma mensagem RSA.

    Par√¢metros:
    - n (int): O m√≥dulo RSA a ser fatorado.
    - e (int): O expoente p√∫blico do RSA.
    - c (int): A mensagem cifrada (ciphertext).
    - a (int): A base inicial usada no m√©todo de Pollard. Default √© 2.
    - B (int): O limite inicial para o c√°lculo de b! (fatorial). Default √© 65535.

    Retorna:
    - str: A mensagem decifrada.
    """
    while True:
        # Calcula b! (fatorial) e tenta encontrar um divisor comum com n
        b = fac(B)
        tmp2 = pow(a, b, n) - 1  # a^(b!) mod n - 1
        mdc = gcd(tmp2, n)

        # Avalia o valor do gcd e ajusta o limite B, se necess√°rio
        if mdc == 1:
            B += 1  # Aumenta o limite B para continuar
        elif mdc == n:
            B -= 1  # Diminui o limite B para ajustar
        else:
            # Encontramos um fator p
            p = mdc
            q = n // p
            assert p * q == n, "Erro na fatora√ß√£o: p * q != n"

            # Calcula o expoente privado d
            d = get_d_from_primes(e,p,q)

            # Decifra a mensagem
            m = pow(c, d, n)
            return long_to_bytes(m).decode()

In [26]:
message = pollards_p_minus_1(n, e, c)
print(f"Mensagem decifrada: {message}")

Mensagem decifrada: M√©todo de Pollard's p-1!!!


# Ataque de Wiener

- **Descri√ß√£o**: Baseia-se em aproxima√ß√µes cont√≠nuas para explorar fraquezas em chaves privadas $  d $  pequenas no RSA.  
- **Ponto Forte**: Funciona bem quando $  d < N^{1/4} $ .  
- **Ponto Fraco**: Ineficaz quando $ d $  √© suficientemente grande.  
- **Passo a Passo**:  
    1. Calcula aproxima√ß√µes cont√≠nuas para $ e/d $ .  
    2. Verifica cada aproxima√ß√£o para determinar se $  d $  satisfaz as propriedades do RSA.  
- **Refer√™ncias**:  
    - Wiener, M. J. (1990). *Cryptanalysis of Short RSA Secret Exponents*.  
    - In√™s Barbedo. *O Sistema Criptogr√°fico RSA: Ataques e Variantes* (file:///C:/Users/user_temp/Downloads/SistemaCriptogr%C3%A1ficoRSA.pdf)


In [None]:
def miller_rabin_pass(a, s, d, n):
	''' 
	n is an odd number with
		n-1 = (2^s)d, and d odd
		and a is the base: 1 < a < n-1
	
	returns True iff n passes the MillerRabinTest for a 
	'''
	a_to_power = pow(a, d, n)
	i=0
	#Invariant: a_to_power = a^(d*2^i) mod n
	
	# we test whether (a^d) = 1 mod n
	if a_to_power == 1:
		return True
	
	# we test whether a^(d*2^i) = n-1 mod n
	# 	for 0<=i<=s-1
	while(i < s-1):
		if a_to_power == n - 1:
			return True
		a_to_power = (a_to_power * a_to_power) % n
		i+=1
	
	# we reach here if the test failed until i=s-2	
	return a_to_power == n - 1

def miller_rabin(n):
	'''
	Applies the MillerRabin Test to n (odd)
	
	returns True iff n passes the MillerRabinTest for
	K random bases
	'''
	#Compute s and d such that n-1 = (2^s)d, with d odd
	d = n-1
	s = 0
	while d%2 == 0:
		d >>= 1
		s+=1
	
	#Applies the test K times
	#The probability of a false positive is less than (1/4)^K
	K = 20
	
	i=1
	while(i<=K):
	# 1 < a < n-1
		a = random.randrange(2,n-1)
		if not miller_rabin_pass(a, s, d, n):
			return False
		i += 1

	return True

def gen_prime(nbits):
	'''
	Generates a prime of n bits using the
	miller_rabin_test
	'''
	while True:
			p = random.getrandbits(nbits)
			#force p to have nbits and be odd
			p |= 2**nbits | 1
			if miller_rabin(p):
				return p
				break

def gen_prime_range(start, stop):
	'''
	Generates a prime within the given range
	using the miller_rabin_test
	'''
	while True:
		p = random.randrange(start,stop-1)
		p |= 1
		if miller_rabin(p):
				return p
				break

def generateKeys(nbits=512):
    '''
    Generates a key pair
        public = (e,n)
        private = d 
    such that
        n is n bits long
        (e,n) is vulnerable to the Wiener Continued Fraction Attack
    '''
    #nbits >= 1024 is recommended
    assert nbits%4==0
    
    p = gen_prime(nbits)
    q = gen_prime_range(p+1, 2*p)
    n = p*q
    phi = totiente(p, q)
        
    # generate a d such that:
    #     (d,n) = 1
    #    36d^4 < n
    good_d = False
    while not good_d:
        d = random.getrandbits(nbits//4)
        if (gcd(d,phi) == 1 and 36*pow(d,4) < n):
            good_d = True
                    
    e = modInverse(d,phi)
    return p,q, e,n,d

In [None]:
def rational_to_contfrac(x: int, y: int) -> tuple[list[int], list[tuple[int, int]]]:
    """
    Converts a rational x/y fraction into a list of partial coefficients [a0, ..., an], and
    a list of convergents at each coefficient level [(n0, d0), (n1, d1), ...]

    O algortimo est√° dispon√≠vel na se√ß√£o 9.1 de https://r-knott.surrey.ac.uk/Fibonacci/cfINTRO.html#CFtofract

    Par√¢metros:
        x (int): numerator of the given rational number
        y (int): denominator of the given rational number

    Retorna:
        tupla: a tuple of coefficients and convergents at each
        coefficient level
    """
    a = x // y
    cflist = [a]
    cvlist = [(a, 1)]
    ppn, ppd = 1, 0  # pre-pre numerator and denominator of convergent
    pn, pd = a, 1  # pre numerator and denominator of convergent
    while a * y != x:
        x, y = y, x - a * y
        a = x // y
        cflist.append(a)
        cn, cd = a * pn + ppn, a * pd + ppd
        cvlist.append((cn, cd))
        ppn, ppd = pn, pd
        pn, pd = cn, cd
    return cflist, cvlist


def wiener_attack(e: int, n: int) -> int:
    '''
    Finds d knowing (e,n)
    applying the Wiener continued fraction attack
    '''
    _, convergents = rational_to_contfrac(e, n)
    
    for (k,d) in convergents:
        #check if d is actually the key
        if k!=0 and (e*d-1)%k == 0:
            phi = (e*d-1)//k
            s = n - phi + 1
            # check if the equation x^2 - s*x + n = 0 has integer roots
            discr = s*s - 4*n
            if(discr>=0):
                t = is_perfect_square(discr)
                if t!=-1 and (s+t)%2==0:
                    return d

In [None]:
p,q,e,n,d = generateKeys()

In [None]:
wiener_attack(e,n)

92594152413712729618284307022639983197

# Interface 

In [27]:
import time
from math import gcd, isqrt
import emoji


class SimuladorAtaqueRSA:
    def __init__(self, n, e=None, c=None, m=None, d=None):
        self.n = n
        self.e = e
        self.c = c
        self.m = m
        self.d = d

    def fatoracao_fermat(self):
        print(f"\nüîç Executando Fatora√ß√£o de Fermat para N={self.n}")
        p, q, d = fermat_factorization(self.n, self.e)
        print(f"üéØ Os fatores primos de {self.n} s√£o:\n p = {p}\n q = {q}")
        print(f"üîë A chave privada √©: d = {d}")
        message = DecryptMessage(self.c, d, self.n)
        print(f"üîì Mensagem decifrada: {message}")

        return
       

    def pollard_p_menos_1(self, B=10**6):
        # print(f"\n‚ö° Executando M√©todo Pollard p-1")
        message = pollards_p_minus_1(n, e, c)
        print(f"Mensagem decifrada: {message}")
        

def menu_principal():
    print("""
  ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó ‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó     ‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó ‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó  ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó‚ñà‚ñà‚ïó  ‚ñà‚ñà‚ïó
  ‚ñà‚ñà‚ïî‚ïê‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïî‚ïê‚ïê‚ïê‚ïê‚ïù‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïó   ‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïó‚ïö‚ïê‚ïê‚ñà‚ñà‚ïî‚ïê‚ïê‚ïù‚ïö‚ïê‚ïê‚ñà‚ñà‚ïî‚ïê‚ïê‚ïù‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïó‚ñà‚ñà‚ïî‚ïê‚ïê‚ïê‚ïê‚ïù‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïë
  ‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïë     ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïó   ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïó   ‚ñà‚ñà‚ïë      ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïó‚ñà‚ñà‚ïë     ‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïë
  ‚ñà‚ñà‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë      ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïë‚ñà‚ñà‚ïë     ‚ñà‚ñà‚ñà‚ñà‚ïë
  ‚ñà‚ñà‚ïë ‚ñà‚ñà‚ïó      ‚ñà‚ñà‚ïë‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë      ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïî‚ïê‚ïê‚ñà‚ñà‚ïë‚ñà‚ñà‚ïë     ‚ñà‚ñà‚ïî‚ïê‚ñà‚ñà‚ïë
  ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïë‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïë‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë      ‚ñà‚ñà‚ïë   ‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïë‚ïö‚ñà‚ñà‚ñà‚ñà‚ñà‚ñà‚ïó‚ñà‚ñà‚ïë  ‚ñà‚ñà‚ïë
  ‚ïö‚ïê‚ïù  ‚ïö‚ïê‚ïù‚ïö‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïù‚ïö‚ïê‚ïù  ‚ïö‚ïê‚ïù   ‚ïö‚ïê‚ïù  ‚ïö‚ïê‚ïù   ‚ïö‚ïê‚ïù      ‚ïö‚ïê‚ïù   ‚ïö‚ïê‚ïù  ‚ïö‚ïê‚ïù ‚ïö‚ïê‚ïê‚ïê‚ïê‚ïê‚ïù‚ïö‚ïê‚ïù  ‚ïö‚ïê‚ïù

                                               .----.
                                .------------. | == |
                                |.-========-.| |----|
                                ||          || | == |
                                ||          || |----|
                                |'-..... ..-'| |::::|
                                  `"")---(""`  |___.|
                                /::::::::::::\"__  "
                               /::::=======:::\  \`\ 
              <!--    __________   __  ______  ______       -->
              <!--   / __/ ___| | / / / __/  |/  / _ | ___  -->
              <!--  / _// (_ /| |/ / / _// /|_/ / __ |/ _ \ -->
              <!-- /_/  \___/ |___/ /___/_/  /_/_/ |_/ .__/ -->
              <!--                                  /_/     -->  

12537508673247452740415065632494689029027732950928380086256250024867187926128380
80287907219466080126910572928733538110840068106336709993591705426997197501264265
37797307222843941099150274102793206236042838704774026115105372038660088467920614
59271374450331751970488423409043692985323238050322405992071593773700020204905132
60850861669417224690840035708894072063281961794947745531844449231173387949796417
48472790731929346064345414201887091548869282344794136434276044068819968354034453
81296531655214965307063040023445866227631412406489130525362013420587466334224983
906533723001807034527677883322082180058876687814462664149 %¬®$$#¬®&*(()((¬®#@$&_)))
               

""")

    print("ü§ñ Bem-vindo ao Simulador de Ataques RSA!")
    escolha = int(input("""Escolha o tipo de ataque:\n
          [1] Fatora√ß√£o de Fermat \n
          [2] M√©todo de Pollard p-1\n
                        
          Sua escolha: """))
    



    t_inicio = time.perf_counter()
    if escolha == 1:
        print("üîë Por favor, insira os dados necess√°rios para o ataque:")
        c = int(input("üîê Digite a mensagem para realizar o ataque: "))
        n = int(input("üî¢ Digite o n√∫mero a ser fatorado,, chave p√∫blica (N) : "))
        e = int(input("üîë Digite o valor de expoente da chave p√∫blica (e): ") )
        print("‚úÖ Dados recebidos com sucesso!", n , e)
        ataque = SimuladorAtaqueRSA(n,e,c)
        resultado = ataque.fatoracao_fermat()
    elif escolha == 2:
        print(" Por favor, insira os dados necess√°rios para o ataque:")
        n = int(input("üîë Digite o valor de n (chave p√∫blica): ") )
        e = int(input("üîë Digite o valor de e (chave p√∫blica): ") )
        c = int(input("üîê Digite o valor de c (valor cifrado): "))
        print("‚úÖ Dados recebidos com sucesso!")
        ataque = SimuladorAtaqueRSA(n,e,c)
        mensagens = [
        "[*] Hackeando sistemas...",
        "[*] Acesso autorizado!",
        "[*] Preparando ataque...",
        "[*] RSA Attack: Ativado!",
        "[*] Ataque completo!"
        ]
            
        time.sleep(1)

        print(f"\n‚ö° Executando o M√©todo Pollard p-1")

        for msg in mensagens:
            print(msg)
            time.sleep(2)  # Pausa entre as mensagens
        resultado = ataque.pollard_p_menos_1()

    else:
        print("‚ö†Ô∏è Escolha inv√°lida.")
        return
    t_fim = time.perf_counter()

    # print("\nüéØ Resultado do ataque:")
    # print(f"{resultado}")
    print(f"‚è±Ô∏è Tempo de execu√ß√£o: {t_fim - t_inicio:.2f} segundos")

# if __name__ == "__main__":
#     menu_principal()

# Refer√™ncias:

- https://braghetto.eti.br/files/trabalho%20oficial%20final%20rsa.pdf
- https://www.iacr.org/archive/crypto2007/46220388/46220388.pdf