ctf

March 10, 2022

Crypto:equivalent - Ant x D^3 CTF 2022

A good challenge about SSP(Subset Sum Problem,a kind of knapsack) in Ant x D^3 CTF 2022.

Chanllenge

Initial：

encrypt：

decrypt：

Analysis

发现该题是一个Knapsack [1] 问题，但不能用普通的的背包出来。

Q1 : Why can’t use regularly method of knapsack to attack it?

A1 :

如果直接在encrypt上面进行背包的话，会发现他没法背包出来。方案设计者表明了该方案针对于常规攻击是相对安全的。

为了避免弱密钥，推荐。

为了抵抗低密度的攻击，选择去满足 d > 1，防止了我们常规攻击背包问题的方式。

这道题目是Yasuyuki Murakami等人的设计knapsack公钥密码系统 [3] ，有一篇paper:《Equivalent key attack against a public-key cryptosystem based on subset sum problem》[2] 讲解针对该题的攻击内容的。

其中说明如果想要恢复子集和问题(Subset Sum Problem) 的等价密钥，需要让keys满足以下条件

P 是一个素数（或者用 gcd(P,e) = 1），且满足
是一个正奇数序列

可知

存在一个比较短的向量t 满足

如果该向量是足够短的话，需要满足

因此向量s和向量k 属于一个 orthogonal lattice 的子格。接着可以找到满足上述的最后两个条件的等价私钥。(ps:事实上，P并不是严格意义需要去满足他是一个素数，只需要与e互素即可)

orthogonal lattice（正交格）[4]:

给出一个格 . 格的所有基能够张成的相同子空间。作为内积的正交向量子空间。我们定义orthogonal lattice为

引理：对于任意的格，

Details of Attack

定义一个格

Theorem :定义格，那么存在一个的向量，满足。

使用 Algorithm 1，可以计算 LLL以后的格基为，并且根据他们长度的升序重新排序这 n-1 个向量。根据Theorem可知，只有一个向量是满足。将第 n-1 个作为该满足条件的向量。

假设每个的分布都很均匀，可以得到，同时。所以当时，。那么时，满足Thorem的条件。并且 n-1 个向量是按照长度升序排序的，我们可以知道这里的就是此处会产生的最长的。

再用一次 Algorithm 1，就可以计算得到 $\mathscr{L}1^\perp $的正交格$ \mathscr{L}(\bold{u_1},\bold{u_2}) $。根据上面的，以及$ \bold{t{n-1}} $就是此处最长的$ \bold{t_0} $，认为$ \lang\bold{s},\bold{t_i}\rang=0 ,i\in[1,n-2] $。基于$ \lang\bold{a},\bold{t}\rang = e \lang\bold{s},\bold{t}\rang + P \lang\bold{k},\bold{t}\rang = 0 $，$ \lang\bold{k},\bold{t_i}\rang=0 $。我们就可以得到$ {\bold{s},\bold{k}} \in \mathscr{L}_1^{\perp}$ 。

接着去枚举搜寻等价私钥

在寻找的过程中需要满足 Analysis 中的最后两条，可以以一个比较高的概率去得到一组等价私钥。

Q2 : How to enumerate the xi,yi ?

A1 :

根据官方的wp，我们可以得知

并且根据的奇偶性，可以判断出的奇偶性，接着随机生成一组，满足生成的全是正数即可。

我们可以得知 P > e >> |a| >> zi，接着就可以得知比较小。

那么就可以用连分数的办法得到y1,y2。

A2 :

也可以直接爆破x1,y1,x2,y2，但运气不好就可能比较难跑出来吧？

完整的算法过程在Attach中描述

Attach

Algorithm 1. Find out the orthogonal lattice [4]:

INPUT- 格的一个格基

OUTPUT - 格的格基

挑选一个 .
生成一个完整格
对 LLL格基规约后张成基
输出向量，其中 .

Algorithm 2. Recover the equivalent private key [2]

INPUT- 公钥 .

OUTPUT - 私钥

计算的正交格，定义。
取 $\mathscr{L}1 = \mathscr{L}(t_1,t_2,\dots,t{n-2}) $，计算他的正交格，定义$ \mathscr{L}_1^\perp = \mathscr{L}(\bold{u_1},\bold{u_2})$ .
令

枚举空间
对每个集合，用计算P和e
用下面两条情况筛选每个序列
2. 是正奇数序列
剩下来的每一组都是等价私钥

Reference

[1] : Knapsack Problem : https://en.wikipedia.org/wiki/Knapsack_problem#Subset-sum_problem

[2] : Jiayang Liu, Jingguo Bi:《Equivalent key attack against a public-key cryptosystem based on subset sum problem》

[3] : Murakami, Y., Hamasho, S., Kasahara, M.: 《A public-key cryptosystem based on decision version of subset sum problem》. Information Theory and its Applications (ISITA), Honolulu, HI, USA, 2012, pp. 735–739

[4] : Nguyen, P.Q., Stern, J.: 《Merkle-Hellman revisited: a cryptanalysis of the QuVanstone cryptosystem based on group factorizations》 CRYPTO, Santa Barbara, CA, USA, 1997, pp. 198–212

About this Post

This post is written by deebato, licensed under CC BY-NC 4.0.

#ctf #cryptography #knapsack