Williams p+1 以及 Pollard’s p-1 分解算法

已于 2025-05-28 18:53:57 修改
阅读量461 收藏 7
点赞数 9
文章标签: 算法 RSA 光滑数 密码学 python
于 2025-05-28 09:18:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87558262/article/details/148263492
版权

Williams p+1分解算法

它是对 RSA 模数 n = p*q 发起攻击的一种方法,核心思想是利用某一个因数(通常是 p)满足“p+1 是 B-平滑数”,也就是说 p+1 只由小素数构成(比如 2 × 3 × 5 × 7 × ...)这种情况,能高效地分解 n

🧠 核心思想解析

这个攻击基于:

  • Lucas 序列:是一种类似 Fibonacci 的递推序列,在特定模下有很强的结构性。

  • p+1 平滑假设:如果 p+1 = k 是 B-平滑的(即它的所有因子都小于某个界限 B),我们可以通过构造特定序列将其“暴力爆破”出来。

下面是代码展示:

from math import isqrt
from gmpy2 import gcd
from Cryptodome.Util.number import long_to_bytes
from itertools import count
from sympy import primerange

# 示例已知参数,待分解的n
n = 151767047787614712083974720416865469041528766980347881592164779139223941980832935534609228636599644744364450753148219193621511377088383418096756216139022880709
# Lucas 序列(Williams p+1 用的)
def mlucas(v, a, n):
    v1, v2 = v, (v ** 2 - 2) % n
    for bit in bin(a)[3:]:
        if bit == "0":
            v1, v2 = (v1 ** 2 - 2) % n, (v1 * v2 - v) % n
        else:
            v1, v2 = (v1 * v2 - v) % n, (v2 ** 2 - 2) % n
    return v1

# 素数生成器
def primegen():
    yield from primerange(2, 10**6)  # 生成到 10^6 的素数,够用了

# 整数对数:ilog(x, b) = 最大整数 l,使得 b^l <= x
def ilog(x, b):
    l = 0
    while x >= b:
        x //= b
        l += 1
    return l

# Williams p+1 分解攻击
def attack(n):
    for v in count(1):  # 不断尝试新的 v
        for p in primegen():
            e = ilog(isqrt(n), p)
            if e == 0:
                break
            for _ in range(e):
                v = mlucas(v, p, n)
            g = gcd(v - 2, n)
            if 1 < g < n:
                return int(g), int(n // g)
            if g == n:
                break

# 开始攻击
p1, q1 = attack(n)
print(f"p = {p1}")
print(f"q = {q1}")

Pollard’s p-1 分解算法

✅ 用在什么时候?

当你怀疑 p-1 很光滑,也就是 p-1 是由很多小素数乘出来的时候。

🧠 一句话原理

如果一个大整数 n = p × q,而且某个因数 pp-1 是平滑数(就是只包含小素数因子的数),那我们可以用指数运算和 GCD 把 pn 里揪出来。

🧪 攻击的关键点:

如果我们设:

M也就是一个由小素数乘出来的数(B 是我们控制的界限),只要 p-1 能整除这个 M,我们就有:

所以:

就是我们要找的因子!

下面是代码展示:

from math import gcd
from sympy import primerange
from math import isqrt

def pollard_p_minus_1(n, B=10**5): # B为素数表的上限,可以根据实际往上调
    a = 2  # 通常选2作为基
    for p in primerange(2, B):
        e = int(isqrt(n).bit_length() / p.bit_length())
        a = pow(a, pow(p, e), n)
    g = gcd(a - 1, n)
    if 1 < g < n:
        return g, n // g
    else:
        return None

# 示例参数n:
n = 198962376391690981640415251545285153602734402721821058212203976095413910572270
result = pollard_p_minus_1(n)
if result:
    p, q = result
    print(f"[+] Success! p = {p}, q = {q}")
else:
    print("[-] Failed. Try increasing B.")

如果没有找到,B的大小可以试试从 10^5(10万)开始,往上调,10^6,10^7,甚至 10^8,最多不要超过 10^9,不然计算会很慢

Heart1412
关注
CTF-CYRPTO-RSA-Smooth
zippo1234的博客
11-19 2604
CTF-CYRPTO-RSA-SmoothRSA-Smooth题目分析开始1.题目2.分析(1光滑(2)Pollard’s p − 1 算法(3)代码实现3.解题脚本4.get flag结语参考 每天一题,只能多不能少 RSA-Smooth 题目分析 光滑(Smooth Number) Pollard’s p − 1 算法 费马小定理 开始 1.题目 from random import choice from Crypto.Util.number import isPrime, sieve_ba
python积最大的分解_pyfactor
weixin_39680121的博客
01-14 840
pyfactor基于python的整分解工具介绍pyfactor是一个完全使用python编写的整分解工具,最大可以分解十进制60位以内的RSAn=pq。这个工具是我的毕业设计作品,纯粹是一个实验性质的小程序,和目前程序的整分解工具(如:msieve,yafu等等)相比,运行效率很低。但其分解能力可以完全胜任教学目的支持的python版本:3.5以上依赖的库:SymPy(推荐版本为1.3以...
Pollard‘s p-1算法
qq_1182418846的博客
10-16 748
光滑 (number):指可以分解为多个小素乘积的正整当p是N 的因,并且p−1光滑,可以考虑使用Pollard's p-1算法分解N当p是N的因,并且p+1光滑,可以考虑使用Williams's p+1算法分解N这里只介绍pollard p-1算法
RSA中利用光滑进行模分解
永远相信美好的事情即将发生
04-15 3098
概述 光滑 (Smooth number):指可以分解为小素乘积的正整 当p是N 的因,并且p−1光滑,可以考虑使用Pollard's p-1算法分解N 当p是N的因,并且p+1光滑,可以考虑使用Williams's p+1算法分解N Pollard的p-1算法 算法核心 为了分解n,设n的一个因子是p,若p − 1的每个因子q满足q≤Bq\le Bq≤B(B是自己选的一个,称为界),此时必有 (p−1)∣B!(p-1) | B!(p−1)∣B! 证:设p−1=q1q2q3…
大整分解算法
weixin_34199335的博客
05-09 456
重读维基百科整理。 特殊分解算法: 试除法(Trial division) 轮式因子分解法(Wheel factorization) Pollard's rho算法(Pollard's rho algorithm) 代群因子分解算法(Algebraic-group factorisation algorithms),包括: ·Pollard's p-1算...
python中整分解相加_pyfactor
weixin_39710991的博客
12-09 413
pyfactor基于python的整分解工具介绍pyfactor是一个完全使用python编写的整分解工具,最大可以分解十进制60位以内的RSAn=pq。这个工具是我的毕业设计作品,纯粹是一个实验性质的小程序,和目前程序的整分解工具(如:msieve,yafu等等)相比,运行效率很低。但其分解能力可以完全胜任教学目的支持的python版本:3.5以上依赖的库:SymPy(推荐版本为1.3以...
因子分解(转)
热门推荐
lishuiwang的专栏
09-16 1万+
因子分解(转) 相对于素判定来说,因子分解的实现就没办法达到那么快速了。因子分解至今仍没有类似于素判定的多项式算法,这也成为了RSA公钥系统安全得以保障的基础。鉴于这两个问题的难度相差较大,在我们施行分解之前,最好是预先知道目标整的确不是一个素,否则很可能花费了很大力气只干了素判定的活——杀鸡用牛刀了。因子分
重生之我是密码学高手|RSA12种常见的攻击方式
wuyunfeng233的博客
09-23 2952
RSA 加密算法是一种非对称加密算法。在公开密钥加密和电子商业中 RSA 被广泛使用。RSA 算法的可靠性由极大整分解的难度决定。换言之,对一极大整做因分解愈困难,RSA 算法愈可靠。假如有人找到一种快速因分解算法的话,那么用 RSA 加密的信息的可靠性就肯定会极度下降。但找到这样的算法的可能性是非常小的。如今,只有短的 RSA 密钥才可能被强力方式解破。到 2017 年为止,还没有任何可靠的攻击 RSA 算法的方式。设整a与正整m互素,如果有解,则a为模x的二次剩余;如果。
CTF密码学python实用脚本集(更新中)
siao_v的博客
02-22 1078
return a, 1, 0 # 当 b 为 0 时,gcd(a, b) = a,此时 x = 1,y = 0。state = add_round_key(state, round_keys[i]) # 加上当前轮的密钥。state = add_round_key(state, round_keys[-1]) # 从最后一轮密钥开始。print(f"验证:{a}*{x} + {b}*{y} = {a * x + b * y}")# 计算 (a + sqrt(w))^(p+1)/2 模 p。
算法-大整的因子(信息学奥赛一本通-T1171)(包含源程序).rar
09-16
质因分解论中的基础操作,可以使用Pollard's rho、Williams' p-1算法进行优化。 2. **平方根截断法**:由于任何大于或等于n的因子a必定存在对应的因子b满足a*b=n,所以只需要检查小于等于√n的是否能整除...
质因分解
12-21
确定性算法Pollard's rho算法Williams' p-1算法等,它们依赖于特定的学构造来寻找因。随机化算法,如Quadratic Sieve和General Number Field Sieve(GNFS),利用域筛选等技术,在平均情况下能更有效地...
CUDA 归约求和(Reduction)算法
liberty的博客
05-29 367
这段代码是CUDA并行编程中经典的‌‌的核心部分,用于高效累加组元素。
4. 算法与分析 (1)
LxiazichengxiL的博客
05-29 624
算法是对特定问题求解方法和步骤的一种描述,它是。
016搜索之广度优先BFS——算法备赛
2401_82484471的博客
05-27 831
广度优先搜索是一种逐层遍历的方式,是图论,树论的基本搜索方式,在决策类问题上也有应用。 算法的关键是准备一个`节点队列`,每遍历一个节点将其所有未访问的子节点(或所有的邻接节点)入队,遍历完一个节点后及时从队列中出队。当队列为空遍历结束。 BFS作为基础搜索算法,其逐层扩散的特点在很多高级算法有着广泛的应用,如`Djstra`算法就是用优先队列实现的`BFS`。
DeepSeek 赋能智能安防:从算法革新到场景落地的全解析
邓邓子的博客
05-27 918
随着人工智能技术的快速发展,智能安防系统迎来了新的变革机遇。本文聚焦 DeepSeek 在智能安防系统中的应用,深入剖析其基于 Transformer 架构与混合专家架构的核心技术原理。详细阐述 DeepSeek 在智能监控预警、门禁身份识别、智能分析决策及系统运维优化等场景中的实践应用,结合智慧社区、智慧监狱等实际案例,展现其高精度识别、高效决策优势。同时,客观分析DeepSeek应用过程中面临的据安全、算法优化等挑战,并对其与物联网、大据融合的未来发展方向进行展望,为智能安防领域技术创新提供参考。
题目 3341: 蓝桥杯2025年第十六届省赛真题-抽奖
m0_75262437的博客
05-27 1142
题目 3341: 蓝桥杯2025年第十六届省赛真题-抽奖时间限制: 2s 内存限制: 192MB 提交: 415 解决: 105题目描述LQ 商场为了回馈广大用户,为在此消费的用户提供了抽奖机会:抽奖机有三个转轮,每个转轮上都分布有 n 个字图案,标号为 1 ∼ n ,按照从 1 到 n 顺序转动,当转到第 n 个图案时会从第一个继续开始。奖项如下:1)三个相同的图案,积分 +200;2)两个相同的图案,积分 +100;
【Halcon】图像分割中的 regiongrowing 与dyn_threshold 动态阈值 算法详解对比
songhuangong123的博客
05-28 731
动态阈值通过比较当前像素与模糊背景图的灰度差异,实现前景/背景分离,适用于背景不均但结构明显的目标提取。对比维度连通区域分割✅❌灰度不均背景❌✅算法逻辑局部相似性扩张背景减法式阈值应用举例焊点、颗粒提取字符、污点检测。
基于多模态脑电、音频与视觉信号的情感识别算法【Nature核心期刊,EAV:EEG-音频-视频据集】
最新发布
weixin_42380711的博客
05-29 778
DatabaseLanguageSubjectsTypesS, ISEED-IV11EEG and EMVideosS, IDREAMER10EEG & ECGMoviesS, IMPED9VideosS, IASCERTAIN8VideosS, IAMIGOS7MoviesS, IDEAP12S, IIEMOCAP15EnglishS, ISEMAINE16EnglishS, INNIME19ChineseP, NRAVDESS20。
Codeforces Round 1027 (Div. 3)
Script_Kids的博客
05-27 337
注:这次只贴代码了, 前面文章还有好几个坑没填呢(哈哈哈)
Pollard p-1算法
05-03
Pollard p-1算法是一种用于分解算法。它是由约翰·波拉德在1988年提出的,是一种基于费马小定理和多项式求导的算法。 该算法的基本思想是:对于一个合n,如果它有一个比1大且小于n的因子p,则p一定是n的一个非平凡因子。因此,我们可以通过随机选择一个整a,并使用费马小定理来计算a^(n-1) mod n,如果结果不等于1,则我们可以通过gcd(a^(n-1) - 1, n)来找到n的一个非平凡因子。但是,如果n的质因子p非常大,那么a^(n-1) mod n就会非常大,难以进行计算。为了解决这个问题,我们可以使用多项式求导的方法,通过计算f(x) = x^2 - 1 mod n的连续k次求导来计算a^(n-1) mod n,从而找到n的一个因子。 虽然Pollard p-1算法不能保证能够分解每个合,但它在实际应用中已经被证明是一种非常有效的分解算法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值