题目:从题目中我们看到:给出了n(两个都相同),两个e(2767和3659),和两个message(即两个密文C1,C2).由此我们看到这道题属于共模攻击.
共模攻击:就是明文m,相同。用两个公钥e1,e2加密得到两个私钥d1,d2 和两个密文c1,c2
共模攻击,即当m不变的情况下,知道n,e1,e2,c1,c2, 可以在不知道d1,d2的情况下,解出m
利用条件为=> gcd(e1,e2)=1.
最终我们可以得到:m=(pow(c1,s1,n)*pow(c2,s2,n))%n
数学推理如下:
因为gcd(e1,e2)=1
根据扩展欧几里得得到 e1*s1+e2*s2=1 s1,s2中一正一负,设s1为正,s2为负
c1 = m^e1%n c2 = m^e2%n
(c1^s1)*(c2^s2)%n=((m^e1%n)^s1*(m^e2%n)^s2)%n
=>(c1^s1)*(c2^s2)%n=((m^e1)^s1*(m^e2)^s2)%n #(a*b)%n=(a%n*b%n)%n
=>(c1^s1)*(c2^s2)%n=(m^(e1^s1+e2^s2))%n #同底数幂
=>(c1^s1)*(c2^s2)%n=(m^(1))%n e1*s1+e2*s2=1
=>(c1^s1)*(c2^s2)%n=m%n
=>(c1^s1)*(c2^s2)=m
可得m=(c1^s1)*(c2^s2)%n
即我们首先通过e1,e2和拓展欧几里得算法得到s1,s2最后通过公式即可解出。
from gmpy2 import *
from Cryptodome.Util.number import *
n = 21058339337354287847534107544613605305015441090508924094198816691219103399526800112802416383088995253908857460266726925615826895303377801614829364034624475195859997943146305588315939130777450485196290766249612340054354622516207681542973756257677388091926549655162490873849955783768663029138647079874278240867932127196686258800146911620730706734103611833179733264096475286491988063990431085380499075005629807702406676707841324660971173253100956362528346684752959937473852630145893796056675793646430793578265418255919376323796044588559726703858429311784705245069845938316802681575653653770883615525735690306674635167111
e1 = 2767
e2 = 3659
c1 = 20152490165522401747723193966902181151098731763998057421967155300933719378216342043730801302534978403741086887969040721959533190058342762057359432663717825826365444996915469039056428416166173920958243044831404924113442512617599426876141184212121677500371236937127571802891321706587610393639446868836987170301813018218408886968263882123084155607494076330256934285171370758586535415136162861138898728910585138378884530819857478609791126971308624318454905992919405355751492789110009313138417265126117273710813843923143381276204802515910527468883224274829962479636527422350190210717694762908096944600267033351813929448599
c2 = 11298697323140988812057735324285908480504721454145796535014418738959035245600679947297874517818928181509081545027056523790022598233918011261011973196386395689371526774785582326121959186195586069851592467637819366624044133661016373360885158956955263645614345881350494012328275215821306955212788282617812686548883151066866149060363482958708364726982908798340182288702101023393839781427386537230459436512613047311585875068008210818996941460156589314135010438362447522428206884944952639826677247819066812706835773107059567082822312300721049827013660418610265189288840247186598145741724084351633508492707755206886202876227
_, s1, s2 = gcdext(e1, e2)
print(s1)
print(s2)
m = powmod(c1, s1, n) * powmod(c2, s2, n) % n
print(long_to_bytes(m))