2023 看雪 KCTF 98k 战队防守方精准攻击赛题设计

2023-11-02

字数统计: 1.8k字 | 阅读时长≈ 8分

本篇博客是 2023 看雪 CTF 年度赛上精准攻击赛题的官方题解与设计思路，精准攻击赛题属于逆向题，但是主要的难点在于密码方向，本题基于两个后量子困难问题（SDP，SSP）设计，解出情况为 0 解，但是由于出题时间较晚，没有拿到最佳坦克奖 orz。最终 98k 战队攻击方排名第一，防守方：坦克奖排名第二，精致奖排名第二。

题目设置

给了 184 个 $\mathbb{F}_2[x]/x^{543} -1$ 上多项式集合 $poly\_set = \{p_1,..,p_{184} \}$ ，一个编码后的多项式 $encoded\_target$ ，一个编码矩阵 $M \in \mathbb{F}_2^{800 \times 543}$ 。需要求一个 184 比特秘密输入 secret ，使得：

用 secret 的 184 比特进行选择，使得 $\prod_{i = 0}^{183} poly\_set[i]^{secret[i]} = target$
上述 target 转换为 $\mathbb{F}_2^{543}$ 上向量 $\vec x$
将 $encoded\_target$ 转换为 $\mathbb{F}_2^{543}$ 上向量 $\vec v$
经过矩阵编码后满足： $(M \cdot \vec x) + \vec v = \vec e$
误差向量 $\vec e$ 的汉明重量小于等于 10。

即求一个多项式子集积，其经过线性编码后与已知目标多项式的汉明误差小于等于 10。

这里给出 python 的验题逻辑：

from out_public import *
from Crypto.Util.number import *
# modulo x**n - 1
n = 543

# circle shift left
def cshift(a: int, shift: int) -> int:
    """Cyclic shift left b bits of a."""
    return ((a << shift) | (a >> (n - shift))) & ((1 << n) - 1)

# polynomial multiplication in GF(2) modulo x**n - 1
def pmul(a: int, b: int) -> int:
    """Multiply two polynomials in GF(2) modulo x**n - 1."""
    c = 0
    for i in range(n):
        if a & 1:
            c ^= b
        a >>= 1
        b = cshift(b, 1)
        # print(f"i = {i}, a = {a}, b = {b}, c = {c}")
    return c

def m_mul(a: int,b: int) -> int:
    """ matrix multiplication in GF(2)"""
    return bin(a&b)[2:].count('1')%2

def m_encode(M: list, a: int) -> int:
    return int("".join([str(m_mul(a, b)) for b in M]),2)

subset = out
m = len(subset)
M = ms[:]

print("[+] known : M, subset , encoded_target")
print("[+] unknown : target, secret")

# check subset product
secret = int(input("secret: "))

result = 1
for i in range(m):
    if (secret>>i)&1:
        result = pmul(result, subset[i])
# check if target is correctly encoded
encoded_target_no_error = m_encode(M, result)
err_bits = encoded_target_no_error ^ bytes_to_long(encoded_target)
err_num = bin(err_bits).count('1')
print(f"[+] {err_num = }")
assert err_num <= 10, "too many errors"
print(f"[+] check error bits ? True")

Code-Based Cryptography

首先注意到后半部分是一个编码问题，给定 $\vec v \in \mathbb{F}_2^{543},M \in \mathbb{F}_2^{800 \times 543}$ ，求一个向量 $\vec x$ 和汉明重量不大于 10 的误差向量 $\vec e$ 使得 :

$M \cdot \vec x + \vec e = \vec v$

本质上就是 543 个变量，给了 800 个方程，但是这 800 个方程中存在至多 10 个错误的方程（实际上刚刚好有 10 个方程是错误的），我们需要找出错误的方程，并且恢复出编码前的向量 $\vec x$ 。大概有两个思路：

这个形式像 LWE ，可以考虑用格来解，构造格，用 BKZ 规约，但是 $\mathbb{F}_2$ 上的格比较特殊。
Information Set Decode 问题，可以使用 sage 的 Information Set Decode （ISD）类求解。

因为本题涉及到了编码纠错问题，于是这题有必要简单提一下后量子密码（PQC）中的一个重要分支：Code-Based Cryptography。本题中的方程纠错问题是标准的 Linear Code 纠错解码。

Linear Code

这里简单介绍 Linear Code 中的一些基本定义。

线性编码 Linear Code : 记 $\mathbb{F} = GF(q)$ 是阶为 $q$ 的伽罗瓦域，一个 $(n,M,d)$ 编码的空间 $\mathcal{C}$ 称为线性的，即它是 $\mathbb{F}^n$ 的线性子空间，其中 $M$ 是明文空间， $n$ 是码字个数， $d$ 是最短码字距离。对于任意 $\mathbf{c}_1, \mathbf{c}_2 \in \mathcal{C}$ 和任意 $a_1,a_2 \in \mathbb{F}$ 使得 $a_1 \mathbf{c}_1+a_2 \mathbf{c}_2 \in \mathcal{C}$ .
线性编码的维数 Dimension : 即线性子空间 $\mathcal{C}$ 的维数，此时我们可以记为 $(n,k,d)$ code $\mathcal{C}$ ，其中， $n$ 是总（密文）空间的维数， $k$ 是明文编码空间的维数，最短距离 $d$ 可以省略
Linear Code 生成矩阵 ：上述概念还比较抽象，实际上直接从生成矩阵看 Linear Code 是很直观的。线性编码 $[n,k,d]$ 的一个生成矩阵是一个 $k \times n$ 的矩阵 $G \in \mathbb{F}^{k \times n}$ ，其 $k$ 个行向量构成整个线性子空间的基 $\{\mathbf{b}_1, \mathbf{b}_2,\cdots, \mathbf{b}_k \}$ ，即任意码字 $\mathbf{a} \in \mathbb{F}^k$ 可以编码为：
$\mathbf{a} \mapsto \mathbf{a}G \\ \mathcal{C} = \{a_1 \mathbf{b_1} + a_2 \mathbf{b}_2 + \cdots + a_k \mathbf{b_k} \ | \ a_i \in \mathbb{F} \}$
Linear Code 校验矩阵（Parity Check Matrix）: 顾名思义，校验矩阵能够验证某个码字是否正确的。令 $\mathcal{C}$ 是定义在 $\mathbb{F}_q$ 上 $[n,k,d]$ 的线性编码，其奇偶校验矩阵 $H \in \mathbb{F}^{(n-k) \times n}$ 满足：
$\forall \mathbf{c} \in \mathbb{F}^n, \mathbf{c} \in \mathcal{C} \iff H \mathbf{c}^T = \mathbf{0}$
也就是说编码的空间是校验矩阵 $H$ 的 kernel space（核空间）。

纠错方程组转换

给定 $\vec v \in \mathbb{F}_2^{543}, M \in \mathbb{F}_2^{800 \times 543}$ ，求一个向量 $\vec x \in \mathbb{F}^{543}$ 使得 :

$M \cdot \vec x + \vec e = \vec v$

543 个变量，给了 800 个方程， $\vec{e}$ 的汉明重量小于等于 10 （错误方程数不超过 10 个，题目给的约束是 10，实际上约束到 20 可能更好），恢复出编码前的向量 $\vec x$ ，这就是 Linear Code 中典型的带纠错的 Decoding Problem。

Problem 1 (Decoding Problem). Let $k<n$ be positive integers. Given a $k \times n$ generator matrix $\mathbf{G}$ of a code $\mathcal{C}$ over $\mathbb{F}_q$ , a positive integer $t$ , and a vector $\mathbf{y} \in \mathbb{F}_q^n$ , which is such that $\mathbf{y}=\mathbf{m G}+\mathbf{e}$ , for some $\mathbf{m} \in \mathbb{F}_q^k$ and $\mathbf{e} \in \mathbb{F}_q^n$ of Hamming weight $t$ , find $\mathbf{e}$ .
Problem 2 (Syndrome Decoding Problem). Let $k \leq n$ be positive integers. Given an $(n-k) \times n$ parity-check matrix $\mathbf{H}$ of a code $\mathcal{C}$ over $\mathbb{F}_q$ , a positive integer $t$ , and a vector $\mathbf{s} \in \mathbb{F}_q^{n-k}$ , which is such that $\mathbf{s}=\mathbf{e H}^{\top}$ , for some $\mathbf{e} \in \mathbb{F}_q^n$ of Hamming weight $t$ , find $\mathbf{e}$ .

Linear Code 相关的论文和书籍都会说 Decoding Problem 和 Syndrome Decoding Problem 是等价的，这给出一个简单的证明，其实只需要用到核空间的性质：

$\mathbf{y}=\mathbf{m G}+\mathbf{e} \\ \implies y \mathbf{H}^T = (m \mathbf{G})\mathbf{H}^T + e\mathbf{H}^T \\ \implies y \mathbf{H}^T = e\mathbf{H}^T$

因为大多数 Decoding Problem 都是转换成 Syndrome Decoding Problem 来做的，而最优的算法 Information Set Decoding （ISD）都是基于 Syndrome Decoding Problem 来阐述的，因此有必要说明 ISD 解纠错编码的基本转换原理。关于 Code-based Cryptography 和 ISD 算法，感兴趣的读者可以参考下面论文和链接

Weger, Violetta et al. “A Survey on Code-Based Cryptography” ArXiv abs/2201.07119 (2022): n. pag.
Anna-Lena Horlemann-Trautmann, Violetta Weger. “Information Set Decoding in the Lee Metric with Applications to Cryptography” (2020)
Ron Roth, Introduction to Coding Theory, Cambridge University Press, 2006
Code-based challenges webpage.

给定一个 Syndrome ： $\mathbf{s}=\mathbf{e H}^{\top}$ ，找到汉明重量为不大于 $t$ 的向量 $e$ ，也就是说可以从 $\mathbf{H}$ 的 $n$ 个列向量中选择 $t$ 个出来使得其线性组合恰好为 $s = \sum_{i \in S_t} \mathbf{H}_i$ ，其中 $|S_t| \le t$ ，为目标支撑集， $\mathbf{H}_i$ 代表 $\mathbf{H}$ 的第 i 个列向量。ISD 算法的核心思想是：我们随机选定一个 Information Set，即 $I$ , 固定该信息集（即假设支撑集向量的总集合），然后高斯消元去解补信息集 $I^C$ 中选定的列向量，验证是否存在满足条件的解，否则重新选择信息集。在具体实现上 ISD 每轮选取信息集 $I$ 的大小是 $k$ ，如果选取的 $k$ 个向量恰好都在支撑集向量外，即支撑集（ $t$ 个向量）只落在信息补集 $I^C$ 选定的 $n -k$ 个向量内，就能够得到目标解，从概率上看，对于线性编码 $[n,k]$ ，纠错不超过 $t$ 的编码，期望需要选择信息集的次数是：

$T = \frac{C(n,t)}{C(n-k,t)}$

最基本的 ISD 算法的单轮迭代过程参考如下：

We are given a parity-check matrix $\mathbf{H} \in \mathbb{F}_q^{(n-k) \times n}$ of a code $\mathcal{C}$ , a positive integer $t$ and a syndrome $\mathbf{s} \in \mathbb{F}_q^{n-k}$ , such that there exists a vector $\mathbf{e} \in \mathbb{F}_q^n$ of Hamming weight less than or equal to $t$ with syndrome $\mathbf{s}$ , i.e., $\mathbf{e} \mathbf{H}^{\top}=\mathbf{s}$ . The aim of the algorithm is to find such a vector e.

Find an information set $I \subset\{1, \ldots, n\}$ of size $k$ for $\mathcal{C}$ .

Bring $\mathbf{H}$ into the systematic form corresponding to $I$ , i.e., find an invertible matrix $\mathbf{U} \in \mathbb{F}_q^{(n-k) \times(n-k)}$ , such that $(\mathbf{U H})_I=\mathbf{A}$ , for some $\mathbf{A} \in \mathbb{F}_q^{(n-k) \times k}$ and $(\mathbf{U H})_{I^C}=\operatorname{Id}_{n-k}$ .

Go through all error vectors $\mathbf{e} \in \mathbb{F}_q^n$ having the assumed weight distribution (and in particular having Hamming weight $t$ ).

Check if the parity-check equations, i.e., $\mathbf{e} \mathbf{H}^{\top} \mathbf{U}^{\top}=\mathbf{s} \mathbf{U}^{\top}$ are satisfied.

If they are satisfied, output $\mathbf{e}$ , if not start over with a new choice of $I$ .

ISD 有多种优化版本，基本都是对于单轮迭代的策略进行优化，下面是题解中使用的 Sagemath 标准库中的 ISD 算法参数：

1	Information-set decoder (Lee-Brickell) for [800, 543] linear code over GF(2) decoding up to 20 errors

Linear Code & ISD in Sagemath

Sagemath 中实现了一系列 ISD 算法，以及对应的纠错解码器。本题就可以通过 sagemath 的内置 ISD 解出唯一的目标解。

记 $M^T \in \mathbb{F}_2^{543\times 800}$ 是 $\mathbb{F}_2$ 上 $[n = 800,k = 543]$ 的线性编码，则我们可以通过高斯消元得到核空间，从而得到校验矩阵 $G \in \mathbb{F}_2^{257 \times 800}$ 。最后使用 ISD 算法解 Syndrome Decoding Problem 得到纠错后的解。转换过程和 decoding 都在 Sagemath 内部封装了，这一步代码量非常少，但是需要有 Linear Code 的基础。

# ISD decode
# number of equations n = 800
# number of variables k = 543
# number of  errors   t = 10
M = matrix(GF(2),[Int_to_Bitvector(row, n) for row in ms])
print(M.dimensions())
# 800 * 543
c = Bytes_to_Bitvector(encoded_target)
C = codes.LinearCode(M.T)
D = codes.decoders.LinearCodeInformationSetDecoder(C, 10)
print(D.algorithm().time_estimate())
%time sol = D.decode_to_message(c)
err = M * sol  - c
print(f"{list(err).count(1) = }")
target_val = Bitvector_to_Int(sol)

ISD 是一个概率性算法，期望的运行的 iteration 次数是（粗略的估计）：

$T = \frac{C(n,t)}{C(n-k,t)} \approx 96391$

实际运行大概 10 s ~ 5 min 不等。恢复出 target 多项式后，剩下的问题就转变成了一个多项式子集积问题。

Polynomial Subset Product Problem

多项式的子集积问题：多项式环 $\mathbb{F}_2[x]/x^{543} -1$ ，给定集合 $poly\_set = \{p_1,..,p_{184} \}$ ，和目标多项式 $t(x)$ ，求 $s_i \in \mathbb{F}_2$ （ $secret$ 的二进制展开）使得：

$\prod_{i = 1}^{184} s_i \cdot p_i(x) = t(x) \mod x^{543} - 1$

这个模多项式分解形式是 $x^{543} - 1 = (x+1)(x^2 + x + 1)f_1f_2f_3$ ，其中 $f_1 , f_2, f_3$ 的都是 180 次的不可约多项式。因此这里考虑同态到伽罗瓦域上，就形成了三个 Polynomial Subset Product Problem (PSPP)，这三个 PSPP 所在的乘法群的阶都是 $2^{180} - 1$ ，这个阶很光滑，可以直接使用 Pohlig-Hellman 算法求解离散对数（其他思路：能否通过 lift 提升到 $(2^{180} -1)^{3}$ ），进而转换到整数环上经典的子集和问题，估算一下单个背包密度： $184/180 > 1$ ，因此一般的求解子集和的方法在这题是行不通的，不能在多项式时间规约出。

因此考虑三个 PSPP 实例，通过求解离散对数转换成 Multiple Subset Sum Problem，构造一个接近 200 维的格（可以参考论文：A Note on the Density of the Multiple Subset Sum Problems），下面的格本质上是把单个 SSP 问题的格在维度上进行了扩展，相当于增加了一些方程：

$\begin{aligned} & \mathbf{b}_1^{\prime} \quad=\left(1,0, \cdots, 0,0, N a_{1,1}, N a_{2,1}, \cdots, N a_{k, 1}\right) \\ & \mathbf{b}_2^{\prime} \quad =\left(0,1, \cdots, 0,0, N a_{1,2}, N a_{2,2}, \cdots, N a_{k, 2}\right) \\ & \mathbf{b}_n^{\prime} \quad=\left(0,0, \cdots, 1,0, N a_{1, n}, N a_{2, n}, \cdots, N a_{k, n}\right) \\ & \mathbf{b}_{n+1}^{\prime}=(0,0, \cdots, 0,0, N q, \quad 0, \quad \cdots, \quad 0) \\ & \mathbf{b}_{n+2}^{\prime}=(0,0, \cdots, 0,0, \quad 0, \quad N q, \cdots, \quad 0 \quad) \\ & \vdots \\ & \mathbf{b}_{n+k}^{\prime}=(0,0, \cdots, 0,0, \quad 0, \quad 0, \quad \cdots, \quad N q) \\ & \mathbf{b}_{n+k+1}^{\prime}=\left(\frac{1}{2}, \frac{1}{2}, \cdots, \frac{1}{2}, \frac{1}{2}, N s_1, N s_2, \cdots, N s_k\right) \text {, } \\ & \end{aligned}$

目标短向量为 $(s_1 - \frac{1}{2}, \cdots, s_{n} - \frac{1}{2}, 0,0,\cdots,0)$ 。用 BKZ 不断调整 block_size 即可，大概需要跑 5 min。

出题源码及EXP

出题源码和 EXP ：2023kctf-98k-精准攻击.zip