SWEET'S BLOG

OpenSSL玩转X.509证书🐾

1401617591@qq.com (sweet) — Tue, 30 Dec 2025 14:30:00 +0800

OpenSSL玩转X.509证书🐾

作者：sweet（1401617591@qq.com）

引言

hello！欢迎回到咪猫魔法世界~ 🐾✨

上篇文章中我们学习了DH协议的身份验证，可新问题来了：Bob怎么可信地获取Alice的公钥？如果中间人伪造公钥，之前的安全逻辑不就崩塌了？这时候X.509证书就该登场啦！

本文主打一个“实操+踩坑实录”——精细拆解X.509证书格式、区分DER/PEM格式、用OpenSSL做证书解析/私钥解析/签名验证，同时夹杂为大家分享一些让我折腾良久的血泪踩坑经历，帮助大家更好的理解、掌握证书操作。

一、X.509证书：让公钥“可信”的核心载体

X.509是公钥基础设施（PKI）的数字证书标准，核心使命就是解决“公钥可信分发”——通过可信第三方（CA）的签名，担保“实体身份 ↔ 公钥”的绑定关系，让接收方放心使用公钥。

1.1 证书的核心组成（RSA场景）

X.509证书本质是“身份信息+公钥+CA签名”的组合包，关键部分如下：

身份与有效期：
- 颁发者（Issuer）：谁签的证书（比如“某根CA机构”）；
- 主体（Subject）：证书属于谁（比如“www.example.com服务器”）；
- 有效期：证书生效和过期时间，过期后失效。
公钥与算法（RSA核心）：
- 公钥算法：明确使用RSA；
- 公钥内容：包含RSA的模数n和公指数e（常用65537），是加密/签名的核心参数。
CA的数字签名： CA用自己的私钥，对“身份、公钥、有效期”等信息签名。其他人用CA的公钥验证签名，就能确认“证书未被篡改，公钥确实属于这个主体”。

咪猫小知识：CA（Certificate Authority）是受信任的证书颁发机构，比如百度HTTPS证书由GlobalSign颁发，我们常用的SSL证书都来自这类权威机构。

1.2 典型应用场景（HTTPS通信）

服务器向客户端发送X.509证书；
客户端验证证书：CA签名是否合法、有效期是否有效、域名是否匹配；
验证通过后，客户端用证书中的RSA公钥加密“预主密钥”；
服务器用自身RSA私钥解密，双方基于预主密钥生成会话密钥，安全通信。

二、DER与PEM：证书的两种“存储格式”

DER和PEM不是证书内容的区别，而是“存储X.509二进制数据”的两种方式，实际操作中经常要切换，必须要分清奥！

2.1 格式核心对比

对比项	DER 格式	PEM 格式
编码方式	二进制直接存储	Base64编码（转成可打印文本）
可读性	二进制，文本编辑器打开是乱码	文本格式，可直接阅读，开头/结尾有固定标记
固定标记	无	开头：`-----BEGIN CERTIFICATE-----`；结尾：`-----END CERTIFICATE-----`（私钥/签名有对应标记）
典型场景	系统内部、程序间二进制交互	文本环境传输（配置文件、邮件）、OpenSSL常用

2.2 关键提醒

后缀不绝对：.cer/.crt可能是DER或PEM格式，需根据编码判断；
转换方法：OpenSSL可实现两种格式互转（后面实操会讲）。

三、OpenSSL实操：证书解析+私钥解析+签名验证

证书操作的核心工具是OpenSSL，下面的操作完全基于实际踩坑经历，步骤清晰，直接照做就行！

3.1 准备工作

安装OpenSSL：Windows下载Win64 OpenSSL，安装后配置环境变量（或直接在安装目录的bin文件夹打开命令行）；
准备文件：获取证书文件（如rsa_private.pem），确保文件完整（避免多余字符）。

3.2 核心操作命令（Win64环境）

1. 解析RSA私钥（PEM格式）

命令：

本文2025-12-30首发于SWEET'S BLOG，最后修改于2025-12-30

维纳攻击(Wiener's Attack)🐾

1401617591@qq.com (sweet) — Sun, 28 Dec 2025 15:30:00 +0800

维纳攻击(Wiener's Attack)🐾

作者：sweet（1401617591@qq.com）

引言

hello！欢迎回到咪猫魔法世界~ 🐾✨

RSA的安全看似靠“大数分解”撑着，但如果私钥d选得太短，就会被维纳攻击轻松破解！本文专门拆解了维纳攻击的核心逻辑——用连分数逼近找到短小的d，不用分解n就能直接拿到私钥（cool），并在文末给出了完整代码和CTF例题，全程带着“踩坑实录”，帮新来的师傅们搞懂“为什么d短了就不安全”。

我们之前已经了解过了 RSA 的各种攻击，而维纳攻击算是“剑走偏锋”的一种，核心依赖数论里的连分数工具，看似复杂，实则思路超清晰——不过如果我们能掌握“连分数+收敛子验证”，这类题也是能拿下的。

一、前置知识：连分数——维纳攻击的核心工具

维纳攻击的本质是“用连分数逼近有理数”，所以先搞懂连分数的基础，攻击原理就顺理成章了。

1.1 连分数的定义

连分数是一种特殊的分数表示形式，通过整数与单位分数（分子为1的分数）递归嵌套表达，比如正分数$a/b$可展开为：

\[ x = a_0 + \frac{1}{a_1 + \frac{1}{a_2 + \frac{1}{a_3 + \ddots}}} \]

简记为$[a_0; a_1, a_2, ..., a_k]$，其中$a_0$是整数部分，$a_1,a_2,...,a_k$是正整数“部分商”。

举个例子：$11/35$的连分数展开为$[0; 3, 5, 2]$，计算过程如下：

$35 ÷ 11 = 3$ 余 $2$ → 部分商$a_0=0$，剩余$2/11$；
$11 ÷ 2 = 5$ 余 $1$ → 部分商$a_1=3$，剩余$1/2$；
$2 ÷ 1 = 2$ 余 $0$ → 部分商$a_2=5$，$a_3=2$，终止。

1.2 连分数的核心概念：收敛子

收敛子是“截取连分数前n项部分商”得到的近似分数，记为$h_n/m_n$（$h_n$为分子，$m_n$为分母）。它的关键性质是：

逼近精度随项数增加而提高，交替大于、小于原分数；
是原分数的“最优逼近”——没有分母更小的分数能比收敛子更接近原分数。

比如$11/35$的收敛子：

本文2025-12-28首发于SWEET'S BLOG，最后修改于2025-12-28

密钥交换的魔法：DH协议与STS协议🐾

1401617591@qq.com (sweet) — Thu, 25 Dec 2025 16:00:00 +0800

密钥交换的魔法：DH协议与STS协议🐾

作者：sweet（1401617591@qq.com）

引言

hello！欢迎回到咪猫魔法世界~ 🐾✨

在不安全的网络里，怎么安全交换只有双方知道的共享密钥？这就轮到DH协议登场啦！它能在被监听的信道上，让通信双方算出相同的密钥，却让窃听者无从下手——核心秘诀就是“离散对数难题”的魔力~o( =∩ω∩= )m～

本文专门拆解DH协议的基础原理、中间人攻击的漏洞，以及简化STS协议的防护方案，还给出了可直接运行的Python代码，全程保持“边学边踩坑”的真实感，帮助各位新手师傅们搞懂密钥交换的核心逻辑！

一、DH协议基础：不安全信道的密钥魔法

DH协议（Diffie-Hellman协议）是密钥交换的经典方案，1976年由Whitfield Diffie和Martin Hellman提出，核心是“公开参数+私有计算”，让双方在不泄露私钥的情况下，协商出共享密钥。

1.1 核心原理：离散对数难题

DH协议的安全性完全依赖“离散对数问题”的困难性：

已知大素数p、模p的本原根g（g的幂能生成模p的所有非零剩余类），以及 $g^a \pmod{p}$，想反推出私钥a，在p足够大时几乎不可能（暴力破解无效）；
正向计算很简单：已知a，计算 $g^a \pmod{p}$ 高效可行。

1.2 DH协议流程（基础原始版）

文字版步骤：

公开参数协商：双方先约定公开参数——大素数p和模p的本原根g（可公开传输，无需保密）；
私钥生成：
- Alice生成私钥a（保密），计算公钥 $A = g^a \pmod{p}$，发给Bob；
- Bob生成私钥b（保密），计算公钥 $B = g^b \pmod{p}$，发给Alice；
共享密钥计算：
- Alice用Bob的公钥B和自己的私钥a，计算 $K = B^a \pmod{p} = (g^b)^a \pmod{p} = g^{ab} \pmod{p}$；
- Bob用Alice的公钥A和自己的私钥b，计算 $K = A^b \pmod{p} = (g^a)^b \pmod{p} = g^{ab} \pmod{p}$；
结果：双方得到相同的共享密钥K，窃听者仅能获取p、g、A、B，无法推导K。

原理图解：

Alice                  不安全信道                  Bob
  |                        |                        |
  |  生成私钥a，计算A=g^a mod p                  |
  |------------------------------------------->|
  |                        |                        |
  |                                          生成私钥b，计算B=g^b mod p
  |<-------------------------------------------|
  |                        |                        |
  |  计算K=B^a mod p                          |
  |                        |                        |  计算K=A^b mod p
  |                        |                        |
  |  共享密钥K                                  共享密钥K
  |                        |                        |

1.3 Python代码实现

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


def dh_simulate(p, g, alice_a, bob_b):
    # 分别生成Alice和Bob的公钥
    alice_A = pow(g, alice_a, p)
    bob_B = pow(g, bob_b, p)
    # 分别计算Alice和Bob的共享密钥
    alice_shared = pow(bob_B, alice_a, p)
    bob_shared = pow(alice_A, bob_b, p)
    # 验证双方计算出的共享密钥是否一致
    # 若共享密钥不一致，说明可能遭受中间人攻击，模拟失败
    assert alice_shared == bob_shared
    return alice_shared

# 手动输入p、g、alice_a、bob_b（可替换为大素数和大私钥）
p = 23  # 模素数（实际应用需用2048位以上大素数）
g = 5   # 模23的本原根（5的幂能生成1~22所有数）
alice_a = 6  # Alice的私钥（保密）
bob_b = 15   # Bob的私钥（保密）

shared_key = dh_simulate(p, g, alice_a, bob_b)
print(f"公共参数:p={p}, g={g}")
print(f"Alice的私钥:{alice_a}, 公钥:{pow(g, alice_a, p)}")
print(f"Bob的私钥:{bob_b}, 公钥:{pow(g, bob_b, p)}")
print(f"共享密钥:{shared_key}")

运行结果：

1
2
3
4


公共参数:p=23, g=5
Alice的私钥:6, 公钥:8
Bob的私钥:15, 公钥:19
共享密钥:2

二、致命漏洞：中间人攻击如何破解DH协议？

基础DH协议看似完美，但有个致命缺陷——缺乏身份验证，中间人能轻松篡改公钥，窃取通信内容！

本文2025-12-25首发于SWEET'S BLOG，最后修改于2025-12-25

二次剩余与勒让德符号🐾

1401617591@qq.com (sweet) — Mon, 22 Dec 2025 15:30:00 +0800

二次剩余与勒让德符号🐾

作者：sweet（1401617591@qq.com）

引言

hello！欢迎回到咪猫魔法世界~ 🐾✨

信安人绕不开的“数论坎”来啦！前面学完一次同余方程，本以为可以顺风顺水，结果碰到二次同余直接懵圈——怎么一次到二次，解法复杂度直接翻倍啊？！

这篇blog是上一篇《信安数学基础学习与练习》的专项补强，专门拆解二次同余方程、二次剩余、勒让德符号这些“拦路虎”，还会和一次同余做详细对比，帮大家理清逻辑。全程保持真实踩坑感，毕竟“懂（不）了”才是学习数论的常态嘛！

一、二次同余方程：从一次到二次解法的“蜕变”

一次同余方程靠扩展欧几里得就能直接冲，可二次同余完全不一样！核心逻辑是“拆解+合并”，先把复杂模数拆成简单素数幂，解完再用中国剩余定理合并，一步都不能省。

1.1 二次同余方程核心原理

二次同余方程的一般形式是 $ax^2 + bx + c \equiv 0 \pmod{m}$，最简形式是 $x^2 \equiv a \pmod{m}$（a、m为整数，$m>0$）。

核心思路就两步：

模数分解：根据“素数幂分解定理”，把m拆成 $m = p_1^{k_1} \times p_2^{k_2} \times ... \times p_n^{k_n}$（$p_i$ 是素数）；
合并解：原方程等价于“模每个素数幂 $p_i^{k_i}$ 的同余方程组”，解完每个方程组后，用中国剩余定理合并出最终解。

Q: 为啥要这么拆？ A: 直接解模合数m的方程太难了！素数幂的方程更简单，拆解后难度直接降级🐱

1.2 一次 vs 二次同余方程

为了避免混淆，我把两者的关键差异整理成了表格，一目了然：

对比维度	一次同余方程	二次同余方程
方程形式	$ax \equiv b \pmod{m}$（a、m为整数，$m>0$）	一般形式：$ax^2 + bx + c \equiv 0 \pmod{m}$；最简形式：$x^2 \equiv a \pmod{m}$
解的存在性判断	简单！计算$\gcd(a,m)$，若能整除b则有解	复杂！先拆m为素数幂，再用勒让德符号/欧拉判别法判断每个素数幂下是否有解，最后看所有方程组是否都有解
核心解法工具	1. 扩展欧几里得算法（求特解）；2. 中国剩余定理（合并解）	1. 勒让德/雅可比符号（判断可解性）；2. 亨泽尔引理（提升素数解到素数幂解）；3. Tonelli-Shanks算法（求素数模下的解）；4. 中国剩余定理（合并解）
解的数量与结构	若有解，设$d=\gcd(a,m)$，则模m下有d个不同解；解的结构：$x \equiv x_0 + k \times m/d \pmod{m}$（$k=0,1,...,d-1$），规律明确	模素数p（$p \nmid a$）：有解则通常2个解；$x^2 \equiv 0 \pmod{p}$ 仅有1个解$x \equiv 0$；模素数幂$p^k$：解数可能为0、1或2；模合数m：解数是各素数幂解数的乘积，无统一规律
复杂度与应用	复杂度低，直接用于RSA求模逆元等场景	复杂度高，依赖大数分解；二次剩余的判断困难性是Goldwasser-Micali概率加密的安全基础，求解算法（如Tonelli-Shanks）用于椭圆曲线密码

二、二次剩余：平方同余有解的“专属名字”

搞懂二次同余，核心就是搞懂“二次剩余”——本质就是判断“$x^2 \equiv a \pmod{p}$ 有没有解”

本文2025-12-22首发于SWEET'S BLOG，最后修改于2025-12-22

RSA基础与大数分解（含多种类型exp）🐾

1401617591@qq.com (sweet) — Sun, 21 Dec 2025 14:00:00 +0800

RSA基础与大数分解（含多种类型exp）🐾

作者：sweet（1401617591@qq.com）

引言

hello！欢迎回到咪猫魔法世界~ 🐾✨

前面啃完数论基础和CryptoHack入门题，这篇聚焦RSA核心——它是1977年由Ron Rivest、Adi Shamir和Leonard Adleman提出的非对称加密算法，本质是数论知识点（欧拉函数、模逆元、大质数判断）的拼接。另外我在这篇文章中还对 RSA安全基石、更多CTF攻击类型、实际应用场景和实战工具等进行了整合，让大家通过这一篇文章就能够大概了解多种 RSA 的“原理+实战+拓展”实际应用~

一、RSA加密算法基础

1.1 核心定义与安全基石

RSA是非对称加密算法的经典代表，加密和解密使用不同密钥，安全性完全建立在“大数分解难题”之上。

正向计算容易：两个大质数p、q相乘得到n，操作简单高效；
逆向推导极难：已知n，想分解出p和q，以当前经典计算能力需数百年甚至更久，这构成了RSA的安全防线。

1.2 RSA 的核心流程

1.2.1 密钥生成

选两个不相等大质数p、q（CTF中常见1024/2048位，实际推荐2048位以上）；
算模数$n = p \times q$（公钥/私钥共用核心模数）；
算欧拉函数$\phi(n) = (p-1)(q-1)$（若n为多素数乘积，$\phi(n)$为各素数减1的乘积）；
选公钥e：满足$1 < e < \phi(n)$且$\gcd(e,\phi(n))=1$，常用65537（费马素数），避免用3/17等小指数；
算私钥d：d是e的模逆元，即$e \times d \equiv 1 \pmod{\phi(n)}$，可通过多种方法求解（如下文方法）。

✅ 最终：公钥$(e,n)$公开（用于加密/验签），私钥$(d,n)$保密（用于解密/签名）。

1.2.2 加密&解密

加密（公钥）：$c = m^e \pmod{n}$（m为明文，需满足$m < n$，否则需分组或填充）；
解密（私钥）：$m = c^d \pmod{n}$；
原理支撑：欧拉定理（$\gcd(m,n)=1$时，$m^{\phi(n)} \equiv 1 \pmod{n}$），因$e \times d = k \times \phi(n) + 1$，故$m^{e \times d} \equiv m \pmod{n}$。

1.2.3 核心特性与应用场景

非对称性：公钥加密只能私钥解密，私钥签名只能公钥验签，是应用核心；
典型用途：
1. 密钥分发：HTTPS/SSL中，浏览器用服务器公钥加密临时会话密钥，后续用对称加密通信；
2. 身份验证：SSH免密登录，本地私钥应答服务器公钥挑战；
3. 数字签名：软件发布者用私钥签名哈希值，用户用公钥验签，确保软件未篡改。

1.2.4 模逆元的三种求解方法

除了扩展欧几里得算法，模逆元还有两种常用求法，适配不同场景：

本文2025-12-21首发于SWEET'S BLOG，最后修改于2025-12-21

信安数学基础学习与练习

1401617591@qq.com (sweet) — Mon, 15 Dec 2025 14:00:00 +0800

信安数学基础学习与练习

作者：sweet（1401617591@qq.com）

引言

hello！欢迎来到咪猫魔法世界~ 🐾✨

本篇内容参考了不少CSDN上的优质文章与笔记，我把核心知识点都提炼成了易懂的短句（可能略有偏差，但足够贴合初学理解）。其中包含具体示例、算法解析、构造方法的优质资料也都整合在文中啦，希望能给同样初学的师傅们一些帮助（若有理解上的偏差也希望师傅们及时指出！）~~o( =∩ω∩= )m

一、信安数学基础学习

1. 整除、欧几里得除法与素数基本定理

整除：若a÷b=c无余数，则称b整除a（记为b∣a），商为c。
关键性质：
- 传递性：如12能被6整除、6能被3整除，则12必能被3整除；
- 线性组合：如6能整除12和18，则6也能整除12×2+18×3=78（倍数的线性组合仍为倍数）。
欧几里得除法（带余除法）：a÷b=c余d（0
核心作用：是求最大公约数、解同余方程的基础，先固定除法的“商余关系”。
最大公约数(gcd)与欧几里得算法(辗转相除法)：
- gcd定义：能同时整除a和b的最大整数，如gcd(198,252)=18；
- 特殊情况：若gcd(a,b)=1，则a和b互素（如4和5，仅1能同时整除）；
- 欧几里得算法：大数÷小数得余数，再用原除数÷余数，重复至余数为0，最后一个非零余数即为gcd；
- 示例：计算gcd(252,198)
  
  ①252÷198=1余54；
  
  ②198÷54=3余36；
  
  ③54÷36=1余18；
  
  ④36÷18=2余0
  
  → 最终gcd=18。
扩展欧几里得算法：
- 核心能力：除求gcd(a,b)外，还能找到整数x、y满足a×x + b×y = gcd(a,b)；
- 计算方法：回代法——先通过欧几里得算法求gcd，再从最后一步反向回代，推导出满足等式的x、y；
- 注意点：若x为负数，需累加模数至x为正；
- 核心应用：求模逆元——若a和m互素（gcd(a,m)=1），可找到x使a×x ≡1 mod m（x即为a的逆元，如2×3=6≡1 mod5，3是2的逆元），是密码学解密的关键。
素数基本定理：
- 核心结论：当x→∞时，不大于x的素数个数π(x)与x/lnx渐近等价（比值趋近于1）；
- 应用：用于计算欧拉函数、判断RSA等密码算法的安全性（依赖大素数难分解的特性）。

2. 同余与剩余系

同余：
- 定义：若a和b除以m的余数相同，则称a≡b(mod m)（如17≡2 mod5），且a-b能被m整除；
- 核心性质：
  - 加减乘不变：如3≡8 mod5、4≡9 mod5，则3+4=7≡8+9=17 mod5，3×4=12≡8×9=72 mod5；
  - 消去律（有条件）：如2×3≡2×8 mod5，因2和5互素，可消去2得3≡8 mod5。
剩余系：
- 完全剩余系：除以m能覆盖0~m-1所有余数的一组数（无遗漏、无重复）；
- 简化剩余系：从完全剩余系中筛选出与m互素的数，其个数为欧拉函数φ(m)；
- 示例：模6的完全剩余系为{0,1,2,3,4,5}，简化剩余系为{1,5}，故φ(6)=2。

3. 欧拉函数、欧拉定理与费马小定理

欧拉函数φ(m)：1~m中与m互素的整数个数，如φ(6)=2。

本文2025-12-15首发于SWEET'S BLOG，最后修改于2025-12-15

哈希算法与文件隐写基础

1401617591@qq.com (sweet) — Mon, 08 Dec 2025 14:00:00 +0800

哈希算法与文件隐写基础

作者：sweet（1401617591@qq.com）

引言

hello！欢迎来到咪猫魔法世界~ 🐾✨

在 CTF 的 Crypto/Misc 里，哈希像“给数据按下的指纹印章”：你拿着印章（算法）一盖，谁来都能复现同一个指纹；而文件隐写更像“把小纸条塞进字节夹层里”——文件表面看着正常，里面却藏着另一份故事。这两类题的共同点是：不靠玄学，靠流程。你只要会“看懂它是什么、再决定怎么下手”，分数就会自己跑过来（O.o）✨

一、关于哈希 / 加密 / 编码

很多新手🐱栽的第一个坑，就是把这三者混成一锅粥（比如我曾经就在做ER图的时候写了这样一个词：“加密后的密文”，当时我们项目指导老师笑的嘴角就没压下来过555）。那么我们现在一起来理理这三者之间的关系，相信看完之后你会对三者之间的区别有一个更加清新的认识。

对比维度	哈希（Hash）	加密（Encryption）	编码（Encoding）
能不能还原	理论上不可逆（只能撞/爆破/查表）	可逆（有密钥就能解）	可逆（公开规则就能解）
主要目的	完整性校验、唯一标识、指纹对比	保密通信、保护内容	适配传输/存储（显示、协议、字符集）
常见例子	MD5、SHA-1、SHA-256、CRC32	AES、RSA	Base64、URL Encode、UTF-8

咪猫口诀：哈希“变不回去”，加密“有钥匙回去”，编码“大家都能回去”。 🐾

这里要补一层更“比赛友好”的理解： CTF 里说“破解哈希”，大多数时候其实不是从哈希值反推出原文（那是做梦），而是——你猜一堆可能的原文，把它们都盖一遍指纹，看看谁对上了。

二、哈希到底强在哪里（也脆在哪里）

哈希函数的理想目标是：输入再长再乱，我都能稳定给你一个固定长度的“指纹”。而且这个指纹要尽量满足三件事（CTF 和现实都爱考）：

固定长度：不管你喂它 1 个字符还是 1G 文件，输出长度都固定。
雪崩效应：输入哪怕只改一个字节，输出也会像翻桌一样完全不一样。
抗碰撞/抗预像（理想状态）：
- 碰撞：找两个不同输入，输出却相同（A != B 但 H(A)=H(B)）。
- 预像：给你一个哈希值，让你找到一个输入能产生它（给“指纹”找“手指”）。

现实是：算法有“年纪”和“命运”。MD5、SHA-1 都已经不再适合作为安全用途（尤其是防碰撞），但它们在 CTF 里依然很常见——因为题目想考的是你的识别与流程，不是真让你写论文。

（SHA 系列的标准可以看 NIST 的 Secure Hash Standard：FIPS 180-4。 (NIST出版物)；MD5 的规范可以看 RFC 1321。 (RFC 编辑器)）

本文2025-12-08首发于SWEET'S BLOG，最后修改于2025-12-08

CyberChef：编码基础与可视化解密

1401617591@qq.com (sweet) — Thu, 04 Dec 2025 14:00:00 +0800

CyberChef：编码基础与可视化解密

作者：sweet（1401617591@qq.com）

引言

hello! 欢迎来到咪猫魔法世界 🐾

在 CTF Crypto 里，编码是“字节与人类语言之间的通用咒语”：所有明文、密文最终都会以字节（bytes）形式存储与传输。理解编码的标准化规则，就能更快拆解题目外层的数据伪装。而 CyberChef 是咪猫的炼金台：拖拽模块、实时出结果，非常适合用来验证你对“这层到底是不是编码”的判断。

一、编码 vs 加密

编码和加密经常被新手混淆，但它们的目标完全不同。编码遵循公开的标准规则，解决的是数据表示与传输问题，所以本身不提供保密性；加密依赖密钥进行变换，核心是隐藏内容，没有密钥就难以合法还原。

类型	核心特征	关键区别
编码（Encoding）	公开标准化规则，解决表示/传输	无保密性，按规则可还原
加密（Encryption）	依赖密钥的变换，隐藏内容	无密钥难以还原

咪猫口诀：编码是能读懂，加密是读不懂。

小提示：CTF 常把“编码 + 加密”叠加出题，一般顺序是先解编码，再解加密。

二、CTF 最核心的三类编码

2.1 字符编码：ASCII / UTF-8 / GBK

字符编码解决的是字符与字节之间的标准化映射，这是所有编码题的地基。ASCII 覆盖英文、数字和基础符号，是很多编码的基础；UTF-8 是互联网主流标准（RFC 3629），兼容 ASCII，多语言场景最常见；GBK 则更常出现在 Windows 环境中，尤其是中文相关的数据。

在 CTF 里我们真正需要记住的不是“背表”，而是一个判断：同一段字节用错编码会乱码。例如 GBK 的中文如果按 UTF-8 去解释，就可能出现乱码。遇到这种情况，CyberChef 里用 Decode text 切换编码选项，往往就能直接还原。

编码	权威标准	字节占用	CTF 常见关注点
ASCII	ANSI X3.4-1968	1 字节	基础文本、协议字段
UTF-8	RFC 3629	1–4 字节	主流；中文通常 3 字节/字
GBK	GB 18030 相关扩展	1–2 字节	Windows 常见；中文通常 2 字节/字

2.2 Base 家族：Base64 / Base32 / Base85

Base 类编码的定位很明确：把二进制数据变成可打印字符，方便在文本通道传输。其中 Base64 与 Base32 可参考 RFC 4648，标准化程度更高。CTF 场景里，Base64 是绝对高频：你会经常遇到“看起来像一串字母数字、末尾带 =”的字符串，它很可能就是 Base64。

本文2025-12-04首发于SWEET'S BLOG，最后修改于2025-12-04

古典密码学入门：置换与替换的核心逻辑

1401617591@qq.com (sweet) — Tue, 02 Dec 2025 17:41:26 +0800

古典密码学入门：置换与替换的核心逻辑

作者：sweet（1401617591@qq.com）

引言

hello!欢迎来到咪猫魔法世界~

古典密码作为密码学的启蒙积木，虽无现代密码的数学复杂度，却浓缩了置换与替换两大核心思想——这也是现代分组密码、流密码的底层雏形。

在CTF场景中，古典密码常以送分题形式出现，但极易因细节（大小写、字符过滤、密钥格式）翻车。本文将从密码学定义、算法原理、CTF实战解法、工程实现到常见陷阱，全维度拆解栅栏、凯撒、维吉尼亚三类经典古典密码，同时对比Python与C语言实现的工程差异，为后续学习现代密码学筑牢基础。

一、古典密码的核心分类与设计原则

古典密码的本质是对明文的字符或比特进行可逆变换，核心分为两类（符合Kerckhoffs原则：密码系统的安全性仅依赖密钥，而非算法本身）：

置换密码：仅改变字符排列顺序，不修改字符本身（如栅栏、列置换密码）；
替换密码：用新字符替换原字符，保持顺序不变（单表替换：凯撒；多表替换：维吉尼亚）。

两类密码的共性：密钥空间有限，易被暴力破解或统计分析攻破——这也是古典密码仅适用于CTF入门，无法满足现代安全需求的核心原因。

二、置换密码：栅栏密码

2.1 密码学定义与核心原理

栅栏密码是典型的路由置换密码，核心是将明文按固定轨道数（密钥）以之字形排列，再按轨道顺序拼接得到密文。

核心逻辑

设明文为一串字符，轨道数为k（密钥），加密过程分为三步：

构建k个空轨道（字符数组）；
按向下、向上的折返规则，依次将明文字符填入对应轨道；
按轨道顺序拼接所有字符，得到密文。

直观示例（明文：HELLOCRYPTO，k=3）

轨道0：H L R T → HLRT 轨道1：E L O C Y P O → ELOCYPO 轨道2：L C O → LCO 密文：HLRTELOCYPOLCO

2.2 CTF实战解法

栅栏密码在CTF中仅有两种出题形式，解法高度固定：

场景	解法
已知轨道数k	直接按轨道折返规则还原明文
未知轨道数k	暴力枚举k在2到10之间（超过10无实际加密意义），通过自然语言可读性验证
变体（列栅栏）	按列数分组后反转列顺序（如k=2时，每2字符为一组交换位置）

2.3 Python实现

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53


# 栅栏密码核心加解密
def rail_fence_encrypt(text, rails):
    if rails <= 1:
        return text
    rows = [''] * rails
    r, step = 0, 1
    for ch in text:
        rows[r] += ch
        if r == 0:
            step = 1
        elif r == rails - 1:
            step = -1
        r += step
    return ''.join(rows)

def rail_fence_decrypt(cipher, rails):
    if rails <= 1:
        return cipher
    n = len(cipher)
    rail_idx = []
    r, step = 0, 1
    for _ in range(n):
        rail_idx.append(r)
        if r == 0:
            step = 1
        elif r == rails - 1:
            step = -1
        r += step
    
    counts = [rail_idx.count(i) for i in range(rails)]
    rails_str = []
    start = 0
    for c in counts:
        rails_str.append(list(cipher[start:start+c]))
        start += c
    
    res = []
    for rid in rail_idx:
        res.append(rails_str[rid].pop(0))
    return ''.join(res)

# 爆破示例
def rail_fence_brute(cipher):
    res = {}
    for k in range(2, 11):
        res[k] = rail_fence_decrypt(cipher, k)
    return res

# 测试
plain = "HELLOCRYPTO"
cipher = rail_fence_encrypt(plain, 3)
print("加密结果：", cipher)
print("解密结果：", rail_fence_decrypt(cipher, 3))

2.4 常见陷阱（CTF高频翻车点）

明文含空格或标点：需确认题目要求保留或过滤（多数题目过滤非字母字符）；
轨道数大于等于明文长度：加密后密文与明文一致，无实际意义；
变体识别：部分题目标注栅栏密码但实际为列置换（需按列数分组反转）。

参考资料：栅栏密码原理与CTF实战

本文2025-12-02首发于SWEET'S BLOG，最后修改于2025-12-02

Crypto入门-基于Windows操作系统的环境配置

1401617591@qq.com (sweet) — Sun, 30 Nov 2025 13:37:02 +0800

Crypto入门-基于Windows操作系统的环境配置

作者：sweet（1401617591@qq.com）

引言

hello!欢迎来到咪喵魔法世界~

抱着对crypto的强烈好奇与浓烈兴趣，我加入了这个神秘的魔法组织。有句话是这么说的，“当新鲜感褪去，真正的爱才开始浮现”。学习crypto的第四个月，我对这句话的赞同度只增不减。

不得不承认，crypto的学习也许不像第一眼看上去那样“炫酷”，它没有web“改个请求参数就能弹出 flag”的即时快乐；也没有二进制“调通断点让程序跑通”的爽感，学crypto的枯燥是越往深处走越磨人的“顿感枯燥”——不是基础RSA算逆元的机械，是分析复现 Coppersmith 算法攻击时对着 “短私钥多项式构造” 的论文啃一下午，连变量替换的逻辑都没摸透的头昏脑涨；是调 ECC 离散对数题时，对着椭圆曲线的加法法则算到脑仁疼，结果因为曲线参数是弱类型，之前的推演全成了无用功的哭笑不得；是面对无数 Latiice 文献的无从下手，或是左脑子进右脑子出的🤷‍♀️，以至于学到凌晨三更时总有摆烂的念头莫名生出。

然而幸运的是因为学习crypto，我结识了一群志同道合的朋友，认识了愿意带着我们做项目的老师，而我也感谢小小的老己从没想过放弃。

兴趣是指导一个人入门最好的老师，却并不足以支撑他长久的走下去。对我来说，支撑我啃这些枯燥文论的也从来不是 “有趣”，是那种 “慢半拍但沉甸甸” 的成就感；是想拥有一门 “别人替代不了” 的硬技能；是知道学会这些后能有更多的职业选择；甚至是在未来能够设计出一个自己的高安全性的加密程序 —— 这些朴素又真实的动力，比什么 “浪漫的坚持” 都更能让人沉下心，慢慢往前走。

如果你真正沉下心来学习crypto，你就会发现它其实是一门“入门易、精通难”的课程，核心是先把基础框架搭起来，再通过真题慢慢打磨。这篇文章是我整理的 CTF Crypto 前置学习笔记，目标是把「环境搭起来 + 基础语法能上手 + 工具链能跑通」做成一份可复用的操作清单。对于新手小白来说，照着做完，就能在本地拥有一个适合 CTF/Crypto 学习与实验的干净环境啦。

最后再次欢迎大家加入咪猫魔法部~或者一起来见证一只咪猫小cainiao的成长哈哈😄

一、环境配置目标（以Windows系统为例）

在 crypto 的世界里，很多“题目做不出来”并不是你不聪明，而是—— 环境没搭好、工具没装对、命令不会用、脚本跑不起来。

所以这篇文章我们不讲玄学，只讲把工坊搭好。不过由于都是最基础的环境配置问题，技术上没什么难点，主要就是跑时间和🖥️，所以我就不一一详细的讲解了，只给出必要的环境配置方向与步骤。（相关下载网址我放在文章最下端了，有需要的可以自取。）

✅ 你最终会拥有：

Windows 电脑（主系统）
一个“藏在 Windows 里的 Linux”：WSL2（Ubuntu）
一个不会乱套的 Python 环境：Conda（crypto 专用环境）
一个适合数论/密码学的“超级计算器”：SageMath
一个边算边记边写报告的“魔法笔记本”：Jupyter Notebook
一个能编译 C 代码的工具链：gcc（在 WSL2 里）

并且会跑通 2 个最小示例：

Python 版凯撒密码 ✅
C 版凯撒密码 ✅

如果上述目标你都已经达成了，就可以直接跳过这篇文章进入下一关：RSA / ECC / lattice / 等真题的复现啦。

本文2025-11-30首发于SWEET'S BLOG，最后修改于2025-11-30

对比维度	一次同余方程	二次同余方程
方程形式	\(ax \equiv b \pmod{m}\)（a、m为整数，\(m>0\)）	一般形式：\(ax^2 + bx + c \equiv 0 \pmod{m}\)；最简形式：\(x^2 \equiv a \pmod{m}\)
解的存在性判断	简单！计算\(\gcd(a,m)\)，若能整除b则有解	复杂！先拆m为素数幂，再用勒让德符号/欧拉判别法判断每个素数幂下是否有解，最后看所有方程组是否都有解
核心解法工具	1. 扩展欧几里得算法（求特解）；2. 中国剩余定理（合并解）	1. 勒让德/雅可比符号（判断可解性）；2. 亨泽尔引理（提升素数解到素数幂解）；3. Tonelli-Shanks算法（求素数模下的解）；4. 中国剩余定理（合并解）
解的数量与结构	若有解，设\(d=\gcd(a,m)\)，则模m下有d个不同解；解的结构：\(x \equiv x_0 + k \times m/d \pmod{m}\)（\(k=0,1,...,d-1\)），规律明确	模素数p（\(p \nmid a\)）：有解则通常2个解；\(x^2 \equiv 0 \pmod{p}\) 仅有1个解\(x \equiv 0\)；模素数幂\(p^k\)：解数可能为0、1或2；模合数m：解数是各素数幂解数的乘积，无统一规律
复杂度与应用	复杂度低，直接用于RSA求模逆元等场景	复杂度高，依赖大数分解；二次剩余的判断困难性是Goldwasser-Micali概率加密的安全基础，求解算法（如Tonelli-Shanks）用于椭圆曲线密码