1. 爆破出n的因数, p/q相差很大或很小 可以分解n
  2. 低模指数e=3, 已知m高位和n,c 可以求出完整明文
  1. 已知p(或q)高位, 已知n,c,e 可求出p,q
  1. 低模指数e=3, 已知n, c和私钥d的低位(在模指数低的情况下,d高位的一半可以认为已知)
  1. e太小m也不大的情况下,c=pow(m,e,n)=pow(m,e),gmpy2的iroot开根爆破
  2. 在e太大(d小)的情况下()
  1. 相同的N不同的e(私钥d),加密同一明文
    求出
    求出
  1. 低加密指数广播攻击:相同的e,对相同的明文m加密了N(至少为e)次
  1. 同一公钥加密的具有线性关系的两条明文(Related Message Attack)
  1. 两个n不互相素,可以gmpy2.gcd(n1,n2)得到p,q

 

 


CTF-Crypto
CTF-RSA-tool
总结
RsaCtfTool(成套)
RSA-and-LLL-attacks
this man TQL.github