Crypto RSA中的数学技巧

最新推荐文章于 2024-05-14 16:58:07 发布
最新推荐文章于 2024-05-14 16:58:07 发布
阅读量3.6k 收藏 11
点赞数 5
分类专栏: Crypto 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a5555678744/article/details/121101818
版权

闲聊两句

之前做到[GKCTF 2021]RRRRsa的时候遇到过这种问题,就是去构造hint和p,q的关系,感觉也没啥好说的,就是去想、去试,当时也没啥记录,没想到这次2021东华杯遇到了老朋友,感觉有必要写篇文章总结下了。

问题解析

先看[GKCTF 2021]RRRRsa

from Crypto.Util.number import *
from gmpy2 import gcd
import gmpy2
flag = b'xxxxxxxxxxxxx'
p = getPrime(512)
q = getPrime(512)
m = bytes_to_long(flag)
n = p*q
e = 65537
c = pow(m,e,n)
print('c={}'.format(c))

p1 = getPrime(512)
q1 = getPrime(512)
n1 = p1*q1
e1 = 65537
assert gcd(e1,(p1-1)*(q1-1)) == 1
c1 = pow(p,e1,n1)
print('n1={}'.format(n1))
print('c1={}'.format(c1))
hint1 = pow(2020 * p1 + q1, 202020, n1)
hint2 = pow(2021 * p1 + 212121, q1, n1)
print('hint1={}'.format(hint1))
print('hint2={}'.format(hint2))

p2 = getPrime(512)
q2 = getPrime(512)
n2 = p2*q2
e2 = 65537
assert gcd(e1,(p2-1)*(q2-1)) == 1
c2 = pow(q,e2,n2)
hint3 = pow(2020 * p2 + 2021 * q2, 202020, n2)
hint4 = pow(2021 * p2 + 2020 * q2, 212121, n2)
print('n2={}'.format(n2))
print('c2={}'.format(c2))
print('hint3={}'.format(hint3))
print('hint4={}'.format(hint4))

c=13492392717469817866883431475453770951837476241371989714683737558395769731416522300851917887957945766132864151382877462142018129852703437240533684604508379950293643294877725773675505912622208813435625177696614781601216465807569201380151669942605208425645258372134465547452376467465833013387018542999562042758
n1=75003557379080252219517825998990183226659117019770735080523409561757225883651040882547519748107588719498261922816865626714101556207649929655822889945870341168644508079317582220034374613066751916750036253423990673764234066999306874078424803774652754587494762629397701664706287999727238636073466137405374927829
c1=68111901092027813007099627893896838517426971082877204047110404787823279211508183783468891474661365139933325981191524511345219830693064573462115529345012970089065201176142417462299650761299758078141504126185921304526414911455395289228444974516503526507906721378965227166653195076209418852399008741560796631569
hint1=23552090716381769484990784116875558895715552896983313406764042416318710076256166472426553520240265023978449945974218435787929202289208329156594838420190890104226497263852461928474756025539394996288951828172126419569993301524866753797584032740426259804002564701319538183190684075289055345581960776903740881951
hint2=52723229698530767897979433914470831153268827008372307239630387100752226850798023362444499211944996778363894528759290565718266340188582253307004810850030833752132728256929572703630431232622151200855160886614350000115704689605102500273815157636476901150408355565958834764444192860513855376978491299658773170270
n2=114535923043375970380117920548097404729043079895540320742847840364455024050473125998926311644172960176471193602850427607899191810616953021324742137492746159921284982146320175356395325890407704697018412456350862990849606200323084717352630282539156670636025924425865741196506478163922312894384285889848355244489
c2=67054203666901691181215262587447180910225473339143260100831118313521471029889304176235434129632237116993910316978096018724911531011857469325115308802162172965564951703583450817489247675458024801774590728726471567407812572210421642171456850352167810755440990035255967091145950569246426544351461548548423025004
hint3=25590923416756813543880554963887576960707333607377889401033718419301278802157204881039116350321872162118977797069089653428121479486603744700519830597186045931412652681572060953439655868476311798368015878628002547540835719870081007505735499581449077950263721606955524302365518362434928190394924399683131242077
hint4=104100726926923869566862741238876132366916970864374562947844669556403268955625670105641264367038885706425427864941392601593437305258297198111819227915453081797889565662276003122901139755153002219126366611021736066016741562232998047253335141676203376521742965365133597943669838076210444485458296240951668402513

很显然,要解决的问题就是联立hint1和hint2,解出{p1,q1},hint3和hint4同理

前一组可以通过

q1 = gcd(n1,(hint1*pow(2021,202020,n1))%n1-(pow(2020*(hint2-212121),202020,n1))%n1)

原因是

hint1*2021^{202020}=(2020 * p1 + q1)^{202020}*2021^{202020}=(2020*2021*p1)^{202020}(mod\ q1)

(2020*(hint2-212121))^{202020}=(2020*2021*p1)^{202020}(mod\ q1)

那么上面这两个式子相减就是q1的倍数,或者说该式子和n的最大公因数是q1(在这里就是)

q2 = gcd(n2,pow(hint3*pow(2021,202020,n2),212121,n2) - pow(hint4*pow(2020,212121,n2),202020,n2))

q2类似,也是通过mod p2来看两个hint之间的关系,然后用拓展欧几里得算法得到n和组合出来的式子之间的最大公因数。

这道题还算是比较仁慈的

东华杯fermat's revenge

这道题和上面这道可以说是表兄弟,甚至算式的结构很像

from Crypto.Util.number import *
f = open('flag.txt', 'rb')
m = bytes_to_long(f.read())
f.close()
e = 65537
p = getPrime(1024)
q = getPrime(1024)
n = p * q
c = pow(m, e, n)
hint = pow(1010 * p + 1011, q, n)
f = open('cipher.txt', 'w')
f.write(f'n={n}\n')
f.write(f'c={c}\n')
f.write(f'hint={hint}\n')
f.close()

题目结构更加简单,只有一个hint,其他结构都是正常的RSA

这下没法联立hint来借其中一个因数了,但是思想还是类似的——mod 其中一个因数看看规律

hint=1011^{q}(mod\ p)

但是只有一个hint,不容易想出来下面的式子(不过能用的数字和变量就那么多,遍历试试还是能试出来一个合适的)

1011^{N}=1011^{p*q}=1011^{q}(mod\ p)

这两个式子和n求最大公因数就可以得到n的分解了

就能拿到最后的flag

总结

这类问题比较好识别,一般会给一个hint,它和p和q之间有直接关系。

至于解法。。按照我现在的经验,一般都是尝试mod p或者mod q看一下,利用已知的条件,在同余式中消去另一个因数,建议把题目给的条件组合组合,在我们规定的mod p或者mod q的条件下,看看都是什么结果。

mortal15
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
getprime(512)CTFRSA基本方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-04 6538
getprime介绍getprime(512)首先,我这边就不放冗长的百度百科的东西了,我概括一下我自己对RSA的看法。 RSA是一种算法,并且广泛应用于现代,用于保密通信。 RSA算法涉及三个参数,n,e,d,其分为私钥和公钥,私钥是n,d,公钥是n,en是两个素数的乘积,一般这两个素数在RSA用字母p,q表示e是一个素数d是e模 varphi(n) 的逆元,CTF的角度看就是,d是由e,p,q可以求解出的一般CTF就是把我们想要获得的flag作为明文,RSA表示为m。然后通过RSA加密,得到
Crypto】picproblem(首届数字空间安全攻防大赛)
07-16
Crypto】picproblem是首届数字空间安全攻防大赛的一项挑战,主要涉及到密码学和图像处理技术的结合。在这个挑战,参赛者需要解决一个加密的图像问题,以获取隐藏在其的“flag”(通常在网络安全竞赛代表...
RSA-p和q挨得很近(费马分解)
admin的博客
11-20 7400
一、基础 最简单的就是拿yafu直接分解,但是我们得知道那个算法的原理, 就是现在p,q是两个素数,而且他俩在素数序列里面就是一前一后的关系。所以我们要把他俩的乘积开根号得到的结果一定是在p,q之间的一个数字,(而且一定不是素数,因为p,q就是紧邻的两个素数)。 那我们找这个开方出来的数字的下一个素数,一定是q,因此我们再让n/q就可以得到两个素数。(这是第一种方法,必须得保证两个数为素数,而且挨得很近才行,我们还会介绍第二种方法,即使有一个不是素数也可以解决。...
每天一题crypto(2)---RSA(低密度指数攻击)
2301_80284843的博客
04-25 170
rsa
攻防世界题解随缘更新
最新发布
Lem0n__的博客
05-14 871
题目其实很简单,复习一下RSA的算法原理就清楚了。如果想要详细了解或者说学习、复习RSA的计算原理的可以参考,个人认为这篇博客对RSA的原理阐述非常清晰。对于一次RSA加解密,步骤一般为:1.随机生成两个质数p和q;2.计算n=p*q;3.计算欧拉函数z=(p-1)*(q-1);4.计算公钥e,其实是取值,1
Crypto--RSA系列
刘十三t的博客
06-14 3942
记录RSA的一些题
Crypto--格密码(一)
刘十三t的博客
07-15 2335
记录格密码的一些题
2021-11-01
m0_57291352的博客
11-01 2974
RSA #!/usr/bin/env python3 import gmpy2 from Crypto.Util.number import getPrime from Crypto.PublicKey import RSA from Crypto.Cipher import PKCS1_v1_5 from base64 import b64encode flag = open('flag', 'r').read().strip() * 23 def encrypt(p, q, e, msg):
Crypto-RSA-wp
qq_43647197的博客
10-15 179
1.首先通过hint n构造f(x) = hint^512-1 = kn,将n的分解转移到多项式f(x)的分解上。故,从0开始到999999遍历一遍m,把符合情况的m记录下来,不足六位高位补充0再拼接在一起即可得解。题目考点:1. 多项式上n的分解 2. benaloh cryptosystem。于是我们对clist里参数使用gcd,即可求出pow(u,r,n)又知道y、n,且m最多为六位整数(后来看wp上的预期解、分享一下。可知u、r、n都是常数,所以。
2022鹏城杯CTF---Crypto
Luiino的博客
09-18 2170
第一部分,e与phi_n不互素,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
handson_crypto_rsa.zip_加密解密_Java_
08-11
8. **代码示例**:在`handson_crypto_rsa`这个文件,可能会包含示例代码,演示如何在Java Card上进行RSA加密解密的完整流程,包括密钥对生成、加密、解密以及错误处理等。 总之,Java Card上的RSA加密解密是一个...
aaa.zip.zip_cryptoAPI_www.aaa.chm_zip
09-20
这个资源可能是开发者社区共享的一个资料库,其包含了与CryptoAPI相关的实践经验和技巧。 总的来说,Microsoft CryptoAPI是Windows平台下进行加密操作的重要工具,它为开发者提供了丰富的加密功能和易用的接口。...
Crypto-Assignment:小组项目
03-27
在该项目,团队成员可能需要共同探索和应用各种加密算法,如对称加密(如AES)、非对称加密(如RSA)、哈希函数(如SHA)以及数字签名和公钥基础设施(PKI)等相关知识。 **一、Jupyter Notebook** 项目指定使用...
rsa.rar_加密解密_Visual_C++_
08-11
RSA算法是一种非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年...开发者可以通过这个项目学习如何在实际应用使用RSA算法,加深对非对称加密的理解,同时掌握在C++环境下进行密码学编程的技巧
BUUCTF——rsa系列(4)
Luiino的博客
07-27 4006
给了c、z、n以及e分析一下,首先是它的作用是进行求导,前一个参数表示求导的内容,后一个参数表示求导的主体,如意思是以p为主体对求导得到1/(1+),同理得到1/(1-)。其次对于如Fraction(1,Derivative(arctan(p),p))是以1为分子,以Derivative(arctan(p),p)为分母,这样一来可以得到关系式z=可以进一步得到下面的关系式=z-2n,=z+2n,敲代码解出p、q。............
[NSSRound#11] 密码学个人赛
weixin_52640415的博客
04-17 1242
NSSCTF Round#11 密码学个人赛 RSA共模攻击 RSA低加密指指数广播攻击 N = m*a^2 + n*b^2的大数分解 RABIN NTRU
D^3CTF(Crypto-D3bug详解 LFSR题目)
MangoFengC++
03-15 1106
D3bug详解(LFSR题目) Author: MangoFeng 题目 from Crypto.Util.number import * from secret import flag assert flag.startswith("D3CTF{") assert flag.endswith("}") message = bytes_to_long(flag[6:-1]) assert message < 2**64 mask = 0b10100100000010000000100010010100
CTF-Crypto-RSA整理
热门推荐
Love&Share
10-28 1万+
rsa基本参数 N:大整数N,我们称之为模数(modulus) p 和 q :大整数N的两个因子(factor) e 和 d:互为模反数的两个指数(exponent) c 和 m:分别是密文和明文 {N,e}称为公钥,{N,d}称为私钥 加密过程: c=m^e mod n c=pow(m,e,n) 解密过程: m=c^d mod n m=pow(c,d,n) 求解私钥d: d = gmpy2.invert(e, (p-1)*(q-1)) 一般来说,n,e是公开的,但是由于n一般是两
RSA数学运用
Luiino的博客
12-31 657
翻别人博客学习,偶然翻到了一道题,与之前写的一道题类似,记录一下。
buuctf crypto rsa
01-22
在buuctf crypto rsa比赛,参赛者需要通过解密RSA加密的数据来获取flag。通常情况下,需要对RSA算法进行分解因子攻击或者求解模数的方法来获取私钥,从而解密加密的数据。参赛者需要具备对RSA加密算法的理解和掌握...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值