梅森旋转算法(MT19937)
偶遇题目,拼尽全力无法战胜,故来学习
随机性、熵与随机数生成器:解析伪随机数生成器(PRNG)和真随机数生成器(TRNG)-CSDN博客
MT19937_mt19937predictor-CSDN博客
浅析MT19937伪随机数生成算法-安全KER - 安全资讯平台
Mersenne Twister 梅森旋转算法笔记 这一篇很详细
相关知识
既然聊到随机数生成了,就会想到PRNG嘛,所以我觉得顺带联系一下流密码会更透彻一点,下面是一些联系知识点,可跳过直接看梅森旋转算法介绍。
流密码
流密码是一种对称密码,一般逐字节或逐比特处理信息(比如说采用异或加密)。现有的流密码是在一次一密的思想基础上发展来的。
一次一密(One-Time Pad,简称OTP)也是一种流密码算法,它被认为是理论上最安全的加密算法之一,它必须遵循以下原则:
- 密钥必须和明文一样长
- 密钥必须是真正随机的(我们可以采用真随机数发生器TRNG来生成)
- 密钥必须只使用一次
- 密钥必须保密(感觉有点废话)
看上面这几条原则,很容易就可以想到密钥的管理是困难的。密钥和明文一样长,且每个都只使用一次,密钥的存储和共享十分困难,这在实际运用上是不现实的
于是人们在试图解决一次一密密钥管理和长度的问题时,想到了能不能有一种方法,只需要提供一小段密钥,就可以生成加密明文所需要的所有密钥。流密码就在此思想上发展。
在流密码中,一个小的密钥(通常称为种子或初始向量)被用来通过一个伪随机数生成器(PRNG)产生一个与明文等长的伪随机密钥流。这个密钥流然后与明文进行异或操作,生成密文。同样,解密过程就是用相同的密钥流对密文进行异或,恢复出明文。
像我们学过的比较简单的流密码RC4、LCG(也都是PRNG生成算法)都是采用这种思想。(我的理解是,一种流密码,其实就是一种PRNG生成算法,毕竟加密一般就是异或嘛,所以还是要看伪随机数的生成)
PRNG
我们将要了解的这个算法,其实就是一种用于生成PRNG(即伪随机数生成器 pseudo random number generator)的一种算法。与PRNG相对的就是TRNG(真随机数生成器),这里不做过多介绍。
PRNG可以使用随机种子(和种子状态)从任意初始状态启动,使用同一状态进行初始化时,它将始终生成相同的序列。PRNG的周期定义为:序列的无重复前缀长度在所有起始状态中的最大值。周期受状态数的限制,通常用比特位数表示。然而,每增加一个比特位,周期长度就可能增加一倍,所以构建周期足够长的PRNG对于许多实际应用程序来说是很容易的。(感觉有点绕,但是目前只要知道,用相同的seed,会生成相同的序列就行了)
PRNG所生成的序列,其特性近似于随机数序列。具有以下特点:
- 确定性,相同的种子值会生成相同的序列
- 高效性,PRNG能快速产生大量随机数
- 周期性,PRNG会在一定周期后重复,但是现代PRNG算法这个周期是很长的
分类
目前通用的伪随机数生成器主要有
- 线性同余生成器,LCG
- 线性回归发生器
- Mersenne Twister (梅森旋转算法)
- xorshift generators
- WELL family of generators
- Linear feedback shift register,LFSR,线性反馈移位寄存器
后面翻资料的时候发现还有一种密码学PRNG(CSPRNG):密码学伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator, CSPRNG),只能后面再去了解了。LFSR之前做题也有遇到,只能又鸽了
知道这样一个框架后,就可以进入重头戏,PRNG的一种算法——梅森旋转算法
介绍
梅森旋转算法,是由松本真和西村拓士在1997年开发的一种能快速产生优质随机数的算法。
它之所以叫做是梅森旋转算法是因为它的循环节是$ 2^{19937}-1 $,这个叫做梅森素数。这个循环节(就是循环周期,理解为经过多少次后会回到第一次的随机数)是很长的,这也是为什么这个算法可以产生优质的随机数。 常见的两种形式为基于32位的MT19937-32和基于64位的MT19937-64(其实是状态向量里整数的位数的区别),而python中的random库主要用的还是MT19937-32,所以我们主要理解一下这个
代码实现
MT19937 算法可分为三个部分
- 初始化
- 旋转状态
- 提取伪随机数
1 | def _int32(x): |
其实如果简单过一遍的话,还是好理解的,就是根据一个seed进行初始化624的状态向量,然后旋转(怎么旋转的有点扣不懂了,浅放一下),提取,每624次提取后再旋转
Randon库
了解了基本的原理后,我们来看看Python中random库的诸如getrandbits这些函数的具体用法和小特性
python中内置的Random类就是采用了MT19937算法,每次生成的随机数都是32位的。getrandbits(32)方法可以获得一个32位随机数
1 | import random |
random.seed(a):设置初始化随机种子,可输出相同随机数序列;a取整数或浮点数,不设置时默认以系统时间为种子
1 | import random |
getrandbits(8)获得的是32位随机数的前8位,而在这之后再次使用getrandbits(8)获取的是下一个32位随机数的前8位
1 | import random |
getrandbits(64)则是两个32位随机数的拼接,倒序拼接
1 | import random |
还需要注意,向高位生长时其实跟小于32位一样是从高位开始取。
1 | import random |
getstate()的用法(相对应的是setstate())
1 | import random |
考点
既然说了是伪随机数,那就说明是有一定规律的,所以我们期望可以通过一些手段来预测随机数
逆向extract_number
大概理解了一下就是将extract_number过程逆向,看了一遍后是理解了,但是让我复述一遍有点难,但是试着来吧
首先 y = y ^ y >> 18这一块,很明显是y和y右移18位后的结果异或,那么高位的18位就是没有变化的,所以我们可以把y_result右移18位后再和自己异或,就又复原了18位,依此类推就可以回退回去,大概是下图这样(图画的有点丑)
代码如下
1 | o = 2080737669 |
接着我们看y = y ^ y << 15 & 4022730752这个过程,y和 y左移15位与上4022730752 的结果进行异或,相当于y_result的低位15位是原y与y左移15位(其实低位15位都是0)与上4022730752 的结果(图我画不出来,但是就是循环这个过程,低位15知道后再左移15位与上4022730752 ,就又可以知道15位,重复下去)
1 | o = 2080737669 |
extract_number剩下的两个过程就是一样的分析过程了,这样extract_number就逆向完了
其他几个逆向过程实在扣不动了,放个总代码吧(放过自己)
1 | class MT19937Recover: |
randcrack库进行预测
python中的randcrack库为我们提供了预测的函数,只要我们输入624个32位的数,就可以进行预测
1 | import random #导入random库(Python内置了) |
但是这个库有个缺点就是必须提交624次,少一次都不行,而且必须是32位的,多一位都不行,具体可以看看下面这篇博客,进行了测试
矩阵状态破解
这个感觉特别巧妙,就是发现了最后的输出和初始状态之间的一个线性关系,然后通过矩阵求解
我们把初始状态state[i]表示为二进制
$ x_0x_1···x_{30}x_{31} $
然后我们把输出的随机数也用二进制表示
$ z_0z_1···z_{30}z_{31} $
二者之间存在以下关系
真不知道这是怎么发现的,只能说太厉害了
那么在GF(2)域上存在一个矩阵使得x变为z
即$ XT=Z $
下面是代码
1 | def extract_number(x): |
如果我们能拿到连续的 624 个输出(比如用 random.getrandbits(32) 连续取 624 次),就能:
1 | state = [] |
从而恢复初始状态,然后进行预测
然后在m1n9师傅博客上看到另一种脚本写法,思路应该是一样的,这里就直接搬过来喽
1 | def construct_a_row(RNG): |
详细可以上m1n9师傅博客查看
暂时看到的就这么多了,其他的等之后补充了
题目
Division(xyctf 2025)
1 | # -*- encoding: utf-8 -*- |
一道靶机题,correct_ans = rand1 // rand2这里告诉我们,要想得到flag,我们必须预测出11000位的数整除10000位数的结果,我们回头看random.getrandbits(32)就可以知道,我们有办法搞到624个32位结果,那么运用randcrack库很容易就可以进行预测,交互代码甚至是ai给我写的,解题代码如下
1 | from pwn import * |
总结
写了两三天总算写完,但是应该还是不全,之后看有空再修修补补吧,不过总算了解了这么一个东西吧,道阻且长捏
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Monday-Blog!
相关推荐
2025-01-22
对称密码—流密码
...
2025-02-02
Coopersmith
偶遇题目,拼尽全力无法战胜,故深入学习 参考文章,建议细细研读 https://zhuanlan.zhihu.com/p/4783052681 https://www.math.auckland.ac.nz/~sgal018/crypto-book/ch19.pdf https://doc.sagemath.org/html/en/reference/polynomial_rings/sage/rings/polynomial/polynomial_modn_dense_ntl.html#sage.rings.polynomial.polynomial_modn_dense_ntl.small_roots https://www.ruanx.net/coppersmith/ 定理设N是一个大整数,$ p \geq N^\beta $是 N 的一个因子,设 $ f(x) $ 是一个d阶(次数为d)的多项式,令$ X=\frac{1}{2}N^{\frac{1}{d} - \varepsilon} $,其中$ 0\le\varepsilon\le...
2024-11-24
椭圆曲线
椭圆曲线下面进行椭圆曲线相关知识的学习(基于crypto hack),中间穿插了一些数论和近世代数的几个知识点。 一. 预备知识学习的时候碰到了数论和近世代数的几个知识点,因为这两门我都没学完(尤其近世代数,完全没开始看),所有只能求尽量讲清楚吧。 群近世代数是主要研究代数系统(即非空集合)的学科,我们会在这个非空集合上定义满足一定条件的一种或多种二元运算(代数运算)。群是近世代数里面一个重要的概念。下面放一个课本上的定义。 简单解释一下就是在一个非空集合里定义一个二元运算,这个运算对于这个集合内的元素都满足 (1)结合率 (2)单位元 (3)逆元 其实还有一个封闭性,就是运算结果还是在这个集合里。 举一个例子,对于所有非零有理数(非空集合),和普通乘法(二元运算)构成了一个群,这个群满足结合律(是显然的),有单位元1(任意数与1做这个二元运算都等于它本身,且交换也满足),且对于任意一个a,都有$ \frac{1}{a} $与a做这个二元运算后等于单位元1(交换也满足) 阿贝尔群(Abel...
2024-11-15
格入门
格入门这两周就是学习了一些格的基本知识,因为临近期中考,学的有点仓促,但总算是了解了一点,我把学到知识点也写了写,作业的解题思路会放在后面题目运用那里,可以跳转去看 一. 预备知识要学习格,是得有线性代数的知识才行的。(反正我看到那些矩阵向量什么的就回忆起上学期被线代支配的恐惧)因为我上学期线代学的也不好,忘的也差不多了,加上这里篇幅也有限,我也只能点一下cryptohack上面提到的一些线代知识,目前来看够用,不过强烈建议系统的学习一下线代。 向量和向量空间以二维向量空间举例,我们可以任意取一个点A,连接原点O和A点,这就构成成了一个向量。我们也可以用A点的坐标来表示这个向量,就像这样v=(x,y) 向量满足加减、数乘和点积运算,下面举例说明(加粗表示向量) v=(a , b),w=(c , d) v + w = (a + c,b + d) (减法同理) c * w = (c * a, c * b ) (数乘) v * w = a * c + b * d ...
2025-02-04
2024 NewStar-Crypto复现
week1xor题目 12345678910111213from pwn import xorfrom Crypto.Util.number import bytes_to_longkey = b'New_Star_CTF'flag='flag{*******************}'m1 = bytes_to_long(bytes(flag[:13], encoding='utf-8'))m2 = flag[13:]c1 = m1 ^ bytes_to_long(key)c2 = xor(key, m2)print('c1=',c1)print('c2=',c2) 考点:异或,pwn库里的xor()函数 只要了解一下异或运算就可以解决,运算法则为:0 ⊕ 0 = 0,1 ⊕ 0 = 1,0 ⊕ 1 = 1,1 ⊕ 1 = 0(同为 0,异为 1) 一个特点是p、q异或的结果与其中一个再进行一次异或就可以得到另一个 pwntools 中的...