blocks|key|2509779|text|在@kelalaka的帮助下，我找到了一个解决方案。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|2509780|The+idea|header-two|2509781|我的漏洞是基于这样一个事实(我不知道它是否总是正确的)，如果r+\cdot+mo+<+n神谕不会打印任何东西，否则它会打印一些数字，不幸的不是r+\cdot+mo。|offset|length|style|CODE|2509782|2509783|因此，\lfloor+\frac{n}{mo}+\rfloor%5Ee+\cdot+(mo%5Ee+\mod+n)不会产生任何答案(\lfloor+\frac{n}{mo}+\rfloor+\cdot+mo+<+n)，而\lfloor+\frac{n}{mo}+%2B+1\rfloor%5Ee+\cdot+(mo%5Ee+\mod+n)会生成一个答案，即使不正确。|2509784|解决方案|2509785|首先，我选择一个比原始消息r更小的数字mo。然后，在甲骨文做出响应之前，我一直在发送r\cdot+2%5Ei，每一步都通过1增加i。|2509786|2509787|当甲骨文做出回应时，这意味着我找到了一个数字s+=+r\cdot+2%5E{i-1}，所以|2509788|unordered-list-item|2509789|s+<+mo|atomic|mathjax|teX|s+<+mo|2509790|2509791|2509792|2s+>+mo|2s+>+mo|2509793|2509794|让k:=\frac{s}{2}。我迭代以下过程，直到k+>+0：|2509795|我派s%2Bk去。|ordered-list-item|2509796|2509797|如果甲骨文作出响应，它的意思是s%2Bk+>+mo,，所以我指定k:=\lfloor+k/2+\rfloor|2509798|如果甲骨文没有响应，它意味着s%2Bk+<+mo,，所以我指定s:=s%2Bk|2509799|2509800|最后，s应该是mo。|2509801|2509802|我提出的“算法”(不好意思)应该在mo中得到O(\log_2+n)，所以它是可处理的。|entityMap|0|INLINETEX|mutability|IMMUTABLE|r+\cdot+mo+<+n|1|r+\cdot+mo|2|\lfloor+\frac{n}{mo}+\rfloor%5Ee+\cdot+(mo%5Ee+\mod+n)|3|\lfloor+\frac{n}{mo}+\rfloor+\cdot+mo+<+n|4|\lfloor+\frac{n}{mo}+%2B+1\rfloor%5Ee+\cdot+(mo%5Ee+\mod+n)|5|r|6|mo|7|r\cdot+2%5Ei|8|9|i|10|s+=+r\cdot+2%5E{i-1}|11|k:=\frac{s}{2}|12|k+>+0|13|s%2Bk|14|s%2Bk+>+mo,|15|k:=\lfloor+k/2+\rfloor|16|s%2Bk+<+mo,|17|s:=s%2Bk|18|s|19|20|21|O(\log_2+n)^0|0|0|U|E|1Z|A|U|E|0|1Z|A|1|0|0|3|1E|1Q|15|2Y|1H|3|1E|2|1Q|15|3|2Y|1H|4|0|0|D|1|J|2|16|A|1N|1|1Q|1|D|1|5|J|2|6|16|A|7|1N|1|8|1Q|1|9|0|0|M|I|M|I|A|0|0|0|6|0|0|0|0|7|0|0|1|E|Q|5|1|E|B|Q|5|C|0|2|3|2|3|D|0|1|F|9|U|M|F|9|E|U|M|F|1|E|9|T|6|E|9|G|T|6|H|1|0|3|1|7|2|3|1|I|7|2|J|0|0|H|2|M|B|H|2|K|M|B|L^^$0|@$1|2|3|4|5|6|7|2X|8|@]|9|@]|A|$]]|$1|B|3|C|5|D|7|2Y|8|@]|9|@]|A|$]]|$1|E|3|F|5|6|7|2Z|8|@$G|30|H|31|I|J]|$G|32|H|33|I|J]]|9|@$G|34|H|35|1|36]|$G|37|H|38|1|39]]|A|$]]|$1|K|3|-4|5|6|7|3A|8|@]|9|@]|A|$]]|$1|L|3|M|5|6|7|3B|8|@$G|3C|H|3D|I|J]|$G|3E|H|3F|I|J]|$G|3G|H|3H|I|J]]|9|@$G|3I|H|3J|1|3K]|$G|3L|H|3M|1|3N]|$G|3O|H|3P|1|3Q]]|A|$]]|$1|N|3|O|5|D|7|3R|8|@]|9|@]|A|$]]|$1|P|3|Q|5|6|7|3S|8|@$G|3T|H|3U|I|J]|$G|3V|H|3W|I|J]|$G|3X|H|3Y|I|J]|$G|3Z|H|40|I|J]|$G|41|H|42|I|J]]|9|@$G|43|H|44|1|45]|$G|46|H|47|1|48]|$G|49|H|4A|1|4B]|$G|4C|H|4D|1|4E]|$G|4F|H|4G|1|4H]]|A|$]]|$1|R|3|-4|5|6|7|4I|8|@]|9|@]|A|$]]|$1|S|3|T|5|6|7|4J|8|@$G|4K|H|4L|I|J]]|9|@$G|4M|H|4N|1|4O]]|A|$]]|$1|U|3|-4|5|V|7|4P|8|@]|9|@]|A|$]]|$1|W|3|X|5|Y|7|4Q|8|@$G|4R|H|4S|I|J]]|9|@]|A|$Z|-1|10|11]]|$1|12|3|-4|5|6|7|4T|8|@]|9|@]|A|$]]|$1|13|3|-4|5|V|7|4U|8|@]|9|@]|A|$]]|$1|14|3|15|5|Y|7|4V|8|@$G|4W|H|4X|I|J]]|9|@]|A|$Z|-1|10|16]]|$1|17|3|-4|5|6|7|4Y|8|@]|9|@]|A|$]]|$1|18|3|19|5|6|7|4Z|8|@$G|50|H|51|I|J]|$G|52|H|53|I|J]]|9|@$G|54|H|55|1|56]|$G|57|H|58|1|59]]|A|$]]|$1|1A|3|1B|5|1C|7|5A|8|@$G|5B|H|5C|I|J]]|9|@$G|5D|H|5E|1|5F]]|A|$]]|$1|1D|3|-4|5|1C|7|5G|8|@]|9|@]|A|$]]|$1|1E|3|1F|5|V|7|5H|8|@$G|5I|H|5J|I|J]|$G|5K|H|5L|I|J]]|9|@$G|5M|H|5N|1|5O]|$G|5P|H|5Q|1|5R]]|A|$]]|$1|1G|3|1H|5|V|7|5S|8|@$G|5T|H|5U|I|J]|$G|5V|H|5W|I|J]]|9|@$G|5X|H|5Y|1|5Z]|$G|60|H|61|1|62]]|A|$]]|$1|1I|3|-4|5|6|7|63|8|@]|9|@]|A|$]]|$1|1J|3|1K|5|6|7|64|8|@$G|65|H|66|I|J]|$G|67|H|68|I|J]]|9|@$G|69|H|6A|1|6B]|$G|6C|H|6D|1|6E]]|A|$]]|$1|1L|3|-4|5|6|7|6F|8|@]|9|@]|A|$]]|$1|1M|3|1N|5|6|7|6G|8|@$G|6H|H|6I|I|J]|$G|6J|H|6K|I|J]]|9|@$G|6L|H|6M|1|6N]|$G|6O|H|6P|1|6Q]]|A|$]]]|1O|$1P|$5|1Q|1R|1S|A|$10|1T]]|1U|$5|1Q|1R|1S|A|$10|1V]]|1W|$5|1Q|1R|1S|A|$10|1X]]|1Y|$5|1Q|1R|1S|A|$10|1Z]]|20|$5|1Q|1R|1S|A|$10|21]]|22|$5|1Q|1R|1S|A|$10|23]]|24|$5|1Q|1R|1S|A|$10|25]]|26|$5|1Q|1R|1S|A|$10|27]]|28|$5|1Q|1R|1S|A|$10|1U]]|29|$5|1Q|1R|1S|A|$10|2A]]|2B|$5|1Q|1R|1S|A|$10|2C]]|2D|$5|1Q|1R|1S|A|$10|2E]]|2F|$5|1Q|1R|1S|A|$10|2G]]|2H|$5|1Q|1R|1S|A|$10|2I]]|2J|$5|1Q|1R|1S|A|$10|2K]]|2L|$5|1Q|1R|1S|A|$10|2M]]|2N|$5|1Q|1R|1S|A|$10|2O]]|2P|$5|1Q|1R|1S|A|$10|2Q]]|2R|$5|1Q|1R|1S|A|$10|2S]]|2T|$5|1Q|1R|1S|A|$10|25]]|2U|$5|1Q|1R|1S|A|$10|25]]|2V|$5|1Q|1R|1S|A|$10|2W]]]]

Thanks to the help of @kelalaka i found a solution.
<h3>The idea</h3>
My exploit was based on the fact (I don't really know if it's always true) that if $r \cdot mo &lt; n$ the oracle won't print anything, otherwise it will print some number, which unfortunate is not $r \cdot mo$. 
So, $\lfloor \frac{n}{mo} \rfloor^e \cdot (mo^e \mod n)$ would produce no answer ($\lfloor \frac{n}{mo} \rfloor \cdot mo &lt; n$) while $\lfloor \frac{n}{mo} + 1\rfloor^e \cdot (mo^e \mod n)$ would produce an answer, even if uncorrect.
<h3>The solution</h3>
First I choose a number $r$ smaller than the original message $mo$. Then, until the oracle responds i keep sending $r\cdot 2^i$ increasing $i$ by $1$ each step. 
When the oracle respond it means that I found a number $s = r\cdot 2^{i-1}$ such that
<ul>
<li>$s &lt; mo$</li>
<li>$2s &gt; mo$</li>
</ul>
Let $k:=\frac{s}{2}$. I iterate the following process until $k &gt; 0$:
<ol>
<li>I send $s+k$.</li>
<li>
<ul>
<li>If the oracle responds it means $s+k &gt; mo,$ so I assign $k:=\lfloor k/2 \rfloor$</li>
<li>If the oracle doesn't respond it means $s+k &lt; mo,$ so I assign $s:=s+k$</li>
</ul>
</li>
</ol>
In the end $s$ should be exactly $mo$. 
The &quot;algorithm&quot; (it's a bit confused, I'm sorry) I proposed should get $mo$ in $O(\log_2 n)$ so it's tractable.

I'm trying to perform a chosen-ciphertext attack against an RSA oracle.
I have $c$ as the ciphertext I want to decrypt, $e$ and $n$.
I already know that I could choose a number $r$, compute $r^e \cdot c$, make the oracle decrypt, and return $r\cdot m$.
The problem is that this particular oracle checks if $m \bmod mo = 0$ where $m$ is the decrypted ciphertext I sent and $mo$ is the original message which I'm trying to get. If it's equal to $0$ (like $rn$) it won't print $m$ so I can't use that attack.
I don't really know what to do.
$n$ is pretty big (1024bit) so I can't factorize it. Maybe there is a small adjustment to the mentioned attack, but I'm really stuck. If anybody could give me a hint I would really love it.

Chosen Ciphertext Attack textbook RSA

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

我在尝试对RSA神谕进行选择性密文攻击。我有c作为我想解密的密文，e和n。我已经知道我可以选择一个数字r，计算r^e \cdot c，使oracle解密，并返回r\cdot m。问题是，这个特定的甲骨文会检查m \bmod mo = 0，其中m是我发送的解密密文，mo是我想要得到的原始消息。如果它等于0 (比如rn__)，它不会打印m，所以我不能使用该攻击。我真不知道该怎么办。n非常大(1024位

问选择密文攻击教科书RSA
EN

回答 1

Cryptography用户

The idea

解决方案

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问选择密文攻击教科书RSAEN