-
Notifications
You must be signed in to change notification settings - Fork 7
/
Copy pathbrek.py
executable file
·348 lines (267 loc) · 12.9 KB
/
brek.py
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
#! /usr/bin/env python3
from pylfsr import LFSR
import numpy as np
from bisect import bisect_left
from itertools import combinations
from math import sqrt
import json
from Crypto.Util.number import long_to_bytes
from base64 import b64encode
f = [0,0,0,1,0,0,0,1,0,1,0,0,1,0,0,0,0,1,0,0,0,0,0,1,0,0,0,1,1,0,0,0,1,1,0,1,1,0,1,1,1,1,0,1,1,1,1,1,0,1,1,1,1,0,0,0,1,1,1,1,0,1,1,1]
pickup_points = [7, 10, 17, 23, 36, 42]
fpoly = [48, 47, 44, 42, 41, 37, 36, 35, 31, 30, 27, 24, 23, 21, 20, 17, 16, 15, 13, 10, 9, 8, 7, 4, 3, 1]
len_reg = 48
start_pos = 1000
N = 20000
def Get_p(idx):
bin_i = [int(bin(i)[2:].zfill(len(pickup_points))[idx]) for i in range(2**len(pickup_points))]
return 1-sum([ i^j for i,j in zip(bin_i, f) ])/(2**len(pickup_points))
def Gen_G(poly):
k = poly[0]
# создаем матрицу, которая эмулирует действия регистра
G_0 = []
for i in range(k-1):
zero_row = [0 for _ in range(k)]
zero_row[i+1] = 1
G_0.append(zero_row)
# формируем последний ряд матрицы
last_row = [0 for _ in range(k)]
for i in poly:
last_row[i-1] = 1
last_row.reverse()
G_0.append(last_row)
G_0 = np.array(G_0)
# ищем линейные соотношения для каждого из битов
G = np.array([[0]*k for _ in range(k)])
for i in range(k):
G[i][i] = 1
for i in range(start_pos):
G = np.matmul(G,G_0)
res_matrix = [[] for _ in G[0]]
for i in range(N):
for idx, elem in enumerate(G[0]):
res_matrix[idx].append(elem%2)
G = np.matmul(G,G_0)
return np.array(res_matrix)
def Gen_lin_eq(G, k, k_prev, z, count_of_parts):
L = len(G)
G_columns = [G[:,i] for i in range(len(G[0]))]
# нам необходимо добиться того, чтобы мы получили необходимые линейные соотношения
# при минимальном количестве использованных битов гаммы.
# Для этого мы разделим часть, которую нам нужно убрать, на отрезки
# и будем их по очереди занулять
step = (L-(k+k_prev))//count_of_parts
# если шаг был последним и уже не нужно ничего изменять в линейных уравнениях
if step == 0:
out_mas = []
for idx, g in enumerate(G_columns):
g_int = int("".join([str(i) for i in g]),2)
out_mas.append((g_int, (-1)**int(z[idx])))
return out_mas, 1
# подготавливаем линейные соотношения для первого шага
lin_eqs = {}
for idx, g in enumerate(G_columns):
# мы будем представлять линейные комбинации в виде чисел,
# чтобы проще было бы их сортировать потом
g_int = int("".join([str(i) for i in g]),2)
if g_int not in lin_eqs.keys():
lin_eqs.update({g_int: (-1)**int(z[idx])})
else:
lin_eqs[g_int] += (-1)**int(z[idx])
print(f"first, len(lin_eqs): {len(lin_eqs)}")
for shift in range(0,L-(k+k_prev), step):
mask = (2**step-1) << shift
# массив для элементов с зануленной исследуемой частью
new_lin_eqs = {}
# массив для элементов, которые прийдется ксорить
tmp_mas = {}
for key in lin_eqs.keys():
current_bits = (key & mask) >> shift
if current_bits == 0:
new_lin_eqs.update({key:lin_eqs[key]})
else:
if current_bits not in tmp_mas.keys():
tmp_mas.update({current_bits: [(key,lin_eqs[key])]})
else:
tmp_mas[current_bits].append((key,lin_eqs[key]))
# старый массив нам больше не нужен
lin_eqs = new_lin_eqs.copy()
for key in tmp_mas.keys():
if len(tmp_mas[key]) == 1:
continue
for (lin_eq1, gamma1),(lin_eq2, gamma2) in combinations(tmp_mas[key],2):
new_gamma = abs(gamma1) * abs(gamma2) * (-1 if np.sign(gamma1) != np.sign(gamma2) else 1)
new_lin_eq = lin_eq1 ^ lin_eq2
if new_lin_eq not in lin_eqs.keys():
lin_eqs.update({new_lin_eq: new_gamma})
else:
lin_eqs[new_lin_eq]+= new_gamma
print(f"shift: {shift}, len(lin_eqs): {len(lin_eqs)}")
out_mas = [(key, lin_eqs[key]) for key in lin_eqs.keys()]
return out_mas, 2**count_of_parts
def Normalize_gamma(uniq_lin_eqs, uniq_gamma_eqs):
res = []
for lin_eq, gamma_eq in zip(uniq_lin_eqs, uniq_gamma_eqs):
if np.sign(gamma_eq) != 0:
res.append((lin_eq, np.sign(gamma_eq)))
return res
# находим результаты линейных соотношений
# (убираем повторы, сразу начальные состояния применяем)
def Get_uniq_lin_eq(lin_eqs, L, k, k_prev, a_prev):
# массив для хранения уникальных линейных соотношений
uniq_lin_eqs = []
# массив для суммирования в него результатов гаммы
uniq_gamma_eqs = []
mask = (2**k-1) << (L-(k+k_prev))
for (lin_eq, gamma_eq) in lin_eqs:
sum_prev_bit = sum(int(i) for i in bin((lin_eq >> (L-k_prev)) & a_prev)[2:])%2
significant_lin_eq = (lin_eq & mask) >> (L-(k+k_prev))
# так как теперь у нас не бит в правой части равенства,
# а разница между соотношениями с нулем в правой части и с единицей,
# то мы пытаемся выяснить знак (а для него и бит), который получится
# после суммирования значения sum_prev_bit и "победившего" значения gamma_eq (его знак)
gamma_eq = abs(gamma_eq) * (-1 if np.sign(gamma_eq) != (-1)**sum_prev_bit else 1)
index = bisect_left(uniq_lin_eqs, significant_lin_eq)
if index == len(uniq_lin_eqs) or uniq_lin_eqs[index] != significant_lin_eq:
uniq_lin_eqs.insert(index, significant_lin_eq)
uniq_gamma_eqs.insert(index, gamma_eq)
elif uniq_lin_eqs[index] == significant_lin_eq:
uniq_gamma_eqs[index] += gamma_eq
return Normalize_gamma(uniq_lin_eqs, uniq_gamma_eqs)
# рассчитываем значение вспомогательной функции h
def Get_value_h(lin_eqs, k):
q = 2**k
h = [ 0 for _ in range(q) ]
h[0] = 1 # потому что -1^{0}=1
for lin_eq, gamma_eq in lin_eqs:
h[lin_eq] = gamma_eq
return h
# преобразование Уолша-Адамара 1-го рода
def fastWalsh(val_h):
# руководствуемся идеями, описанными в статье
l = len(val_h)//2
if (l != 0):
value_H_1 = fastWalsh( [ val_h[i]+val_h[l+i] for i in range(l) ] )
value_H_2 = fastWalsh( [ val_h[i]-val_h[l+i] for i in range(l) ] )
return value_H_1+value_H_2
return val_h
def Get_omega(uniq_lin_eqs):
return len(uniq_lin_eqs)
def Get_T(omega, t, eps):
return omega*2**(t-2)*eps**(t)
def Calc_m(omega, t, eps):
return sqrt(omega)*2**(t)*eps**(t)
# один шаг атаки
def Pass(k, k_prev, t, L, a_prev, lin_eqs, eps):
# прежде чем заполнять массив h,
# нам необходимо найти наиболее вероятные результаты для линейных соотношений
uniq_lin_eqs = Get_uniq_lin_eq(lin_eqs, L, k, k_prev, a_prev)
omega = Get_omega(uniq_lin_eqs)
print(f"omega: {omega}")
m = Calc_m(omega, t, eps)
# расстояние между центрами распределений должно быть больше 3х сигм,
# чтобы мы могли хорого различать гипотезы
if m < 3:
print(f"m: {m}")
T = Get_T(omega, t, eps)
value_h = Get_value_h(uniq_lin_eqs, k)
value_H = fastWalsh(value_h)
max_value_H = max(value_H)
# отладочные принты, для наглядности атаки
print(f"a_prev: {bin(a_prev)}")
print(f"T: {T}")
print(f"max in H: {max_value_H}")
#inp = input()
# все подошедшие состояния
a = []
# если нет значений, больше граничного,
# то нечего и стараться
if max_value_H < T:
return a
for i, h in enumerate(value_H):
if (h > T):
a.append((a_prev<<k)^i)
# возвращаем все подошедшие состояния
return a
# обработка одного регистра сдвига
def oneLFSR(p, k_i, poly, z, count_of_parts):
print("начинаем работу с новым регистром сдвига:")
G = Gen_G(poly)
L = len(G)
# получаем "утекающую вероятность"
if (p > 0.5):
eps = p - 0.5
else:
eps = 0.5 - p
#инвертируем элементы GF2 из массива z
z = [i^1 for i in z]
# массив уже подобранных бит РСЛОС
# изначально нет подобранных бит
a_prev = [ 0 ]
# переменная, содержащая длину предыдущих подобраных бит РСЛОС
k_prev = 0
# восстанавливаем РСЛОС по частям:
for k in k_i:
lin_eqs, t = Gen_lin_eq(G, k, k_prev, z, count_of_parts)
# массив, в который будут складываться состояния, подобранные на этом шаге
a = []
# проверяем каждое возможное значение кусочка РСЛОС
for a_i in a_prev:
a += Pass(k, k_prev, t, L, a_i, lin_eqs, eps)
# обновляем массив начальных состояний для следующего шага цикла
# (только уникальные элементы)
a_prev = []
for a_i in a:
if a_i not in a_prev:
a_prev.append(a_i)
k_prev += k
# если мы хотим дебажить по шагам
#print(f"a = \n{[bin(a_i)[2:] for a_i in a]}")
print(f"len_a: {len(a)}")
#inp = input()
if( len(a_prev) == 0 ):
return []
return a_prev
def Load_gamma(filename):
filename = f"{filename}.json"
f = open(filename, 'r')
dict = json.load(f)
return dict["g"]
def main():
filename = "output"
z = Load_gamma(filename)
p = Get_p(0)
print("рассчитаем все корреляционные вероятности")
for i in range(len(pickup_points)):
print(f"p[{i}]: {Get_p(i)}")
k_i = [24,24]
# количество отрезков, на которые мы разделим те биты,
# которые хотим обнулить при составлении линейных уравнений проверки четности
count_of_parts = 2
a = oneLFSR(p, k_i, fpoly, z, count_of_parts)
print("-------------------------")
print([bin(answ) for answ in a])
if len(a) == 0:
print("не найдено ни одного начального состояния")
return
st = [int(i) for i in bin(a[0])[2:]]
# при использовании в LFSR начальное заполнение переворачивается -
# учтем данную особенность
st.reverse()
# прокручиваем регистр назад по одному шагу за раз
for _ in range(7):
# сделаем крайний бит нулем
st_new = st[1:]+[0]
L = LFSR(fpoly=fpoly,initstate = st_new)
L.runKCycle(1)
# крайний бит всегда участвует в формировании нового бита состояния,
# поэтому если состяние не изменилось, то он ноль, иначе - единица
st_new[-1] = L.state[0]^st[0]
st = st_new[::]
# ура, мы имеем секретный init_state, получаем из него флаг
print("0b"+"".join([str(s) for s in st]))
bt = long_to_bytes(int("".join([str(i) for i in st]),2))
flag = b64encode(bt).decode()
print("CUP{"+flag+"}")
if __name__ == '__main__':
main()