攻击原理:

Modulus Fault Attacks Against RSA-CRT Signatures

https://eprint.iacr.org/2011/388.pdf

https://pdfs.semanticscholar.org/presentation/4a85/527e363005c8f5270fc909359c2b7e050426.pdf

在n=pq,分别对明文m签名时,如果一个签名正确,另一个签名错误,那么会导致n可分解

如果觉得看论文太长太麻烦,可以看底下的解题链接

SSL/TLS协商过程解析

https://blog.csdn.net/zhangtaoym/article/details/55259889


题目分析:

题目原本给的是个pcap,里面是Client与Server的交互信息,现在得不到这个文件了。在握手的时候,因为RSA的签名认证出了问题导致没有通过验证,分析可知可以通过CRT来攻击分解n

再从pcap中得到pem文件从而得到flag


题目解答:

https://github.com/sonickun/ctf-crypto-writeups/blob/master/2016/hitb-facebook-ctf/capture-mexico-tls/solver.py

下面这个题解解释得很清楚:

https://www.cryptologie.net/article/371/fault-attacks-on-rsas-signatures/

重点在于这两个图片:

所以我们可以利用gcd求得p,也就分解了n