RSA--e与φ(n)不互素时

于 2019-07-02 17:49:50 发布 8086 收藏 15
文章标签: rsa gcd(e φ(n))!=1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenzzhenguo/article/details/94339659
版权

一、题目

n1=0xcfc59d54b4b2e9ab1b5d90920ae88f430d39fee60d18dddbc623d15aae645e4e50db1c07a02d472b2eebb075a547618e1154a15b1657fbf66ed7e714d23ac70bdfba4c809bbb1e27687163cb09258a07ab2533568192e29a3b8e31a5de886050b28b3ed58e81952487714dd7ae012708db30eaf007620cdeb34f150836a4b723L
e1=0xfae3aL
c1=0x81523a330fb15125b6184e4461dadac7601340960840c5213b67a788c84aecfcdc3caf0bf3e27e4c95bb3c154db7055376981972b1565c22c100c47f3fa1dd2994e56090067b4e66f1c3905f9f780145cdf8d0fea88a45bae5113da37c8879c9cdb8ee9a55892bac3bae11fbbabcba0626163d0e2e12c04d99f4eeba5071cbeaL
n2=0xd45304b186dc82e40bd387afc831c32a4c7ba514a64ae051b62f483f27951065a6a04a030d285bdc1cb457b24c2f8701f574094d46d8de37b5a6d55356d1d368b89e16fa71b6603bd037c7f329a3096ce903937bb0c4f112a678c88fd5d84016f745b8281aea8fd5bcc28b68c293e4ef4a62a62e478a8b6cd46f3da73fa34c63L
e2=0x1f9eaeL
c2=0x4d7ceaadf5e662ab2e0149a8d18a4777b4cd4a7712ab825cf913206c325e6abb88954ebc37b2bda19aed16c5938ac43f43966e96a86913129e38c853ecd4ebc89e806f823ffb802e3ddef0ac6c5ba078d3983393a91cd7a1b59660d47d2045c03ff529c341f3ed994235a68c57f8195f75d61fc8cac37e936d9a6b75c4bd2347L
assert pow(flag,e1,n1)==c1
assert pow(flag,e2,n2)==c2
assert gcd(e1,(p1-1)*(q1-1))==14
assert gcd(e2,(p2-1)*(q2-1))==14

求flag

二、分析
1、给了n1,n2想到公约数

def gcd(a,b):
    if b!=0:
        return gcd(b,a%b)
    else:
        return a
n1=145902412361478782344770381873783700413638083575664796147183684992615987925480426688706400688307583005196450858827113757408777361940584125700594767997877530445777012630266331221234501260829837820315200747919668506933176146599166089445798737129024362167061966283411487243534460764772316650320961711082540676899
n2=149099187170511972630955070342575714830336629001429055523308641067867185643738492089983321303377141971663123411968339764579768625561000509534051657156505686277638053591553620131562538158327446457847814787147698749502556552831112070838138070024147578824279983531049306936118687161116949990664307619657857322083

p=gcd(n1,n2)
print("gcd(n1,n2)=%d\n"%(p))

gcd(n1,n2)=12120327527644543811107783655014863098833219936714394976342507913322405566177432644931575840816861543106701611662013978324877080018872656490603706071067111

p=gcd(n1,n2)

接下来求q1,q2

q1=n1//p
q2=n2//p
print("p=%d\n"%(p))
print("q1=%d\n"%(q1))
print("q2=%d"%(q2))

得到

p=12120327527644543811107783655014863098833219936714394976342507913322405566177432644931575840816861543106701611662013978324877080018872656490603706071067111

q1=12037827528067911684278967221392433256129944002157200272548317200308481572950474775891360447285969682243206009995242277136633522897723532096467191105943909

q2=12301580698247665838432962460247894405698817646605188562297985838079356879336309758823376086396761749681729993573203954506346863479448531269351981555913253

然后,因为e与φ(n)不互素,所以不能直接求出逆元d
只有当他们互素时,才能保证e的逆元d唯一存在。
在这里插入图片描述

2、下面进行等式运算,来找到解题思路
还是要求逆元,则要找到与φ(n)互素的数
在这里插入图片描述
我们已知b=14
从上面的推算,可得a与φ(n)互素,于是可唯一确定bd
于是求出bd
gmpy2.invert(a,φ(n))

然后想到bd/b,求出d,然后求明文。可是,经测试求出的是乱码,这个d不是我们想要的

3、根据推导的最后一个公式,bd可作为私钥来求解出m^14。想到低指数破解的方法,可是14并不小。
想一下,给两组数据,应该有两组数据的作用,据上面的结论,我们可以得到一个同余式组
在这里插入图片描述
进一步推导
在这里插入图片描述
可以计算出特解m
m=solve_crt([m1,m2,m3], [q1,q2,p])
我们想到模n1,n2不行那模q1*q2呢,
这里res可取特值m
在这里插入图片描述
那么问题就转化为求一个新的rsa题目
e=14,经计算发现此时e与φ(n)=(q1-1)(q2-1),还是有公因数2。
那么,我们参照上述思路,可得出m^2,此时直接对m开方即可。
在这里插入图片描述
在这里插入图片描述
4、解题脚本

n1=0xcfc59d54b4b2e9ab1b5d90920ae88f430d39fee60d18dddbc623d15aae645e4e50db1c07a02d472b2eebb075a547618e1154a15b1657fbf66ed7e714d23ac70bdfba4c809bbb1e27687163cb09258a07ab2533568192e29a3b8e31a5de886050b28b3ed58e81952487714dd7ae012708db30eaf007620cdeb34f150836a4b723L
e1=0xfae3aL
c1=0x81523a330fb15125b6184e4461dadac7601340960840c5213b67a788c84aecfcdc3caf0bf3e27e4c95bb3c154db7055376981972b1565c22c100c47f3fa1dd2994e56090067b4e66f1c3905f9f780145cdf8d0fea88a45bae5113da37c8879c9cdb8ee9a55892bac3bae11fbbabcba0626163d0e2e12c04d99f4eeba5071cbeaL
n2=0xd45304b186dc82e40bd387afc831c32a4c7ba514a64ae051b62f483f27951065a6a04a030d285bdc1cb457b24c2f8701f574094d46d8de37b5a6d55356d1d368b89e16fa71b6603bd037c7f329a3096ce903937bb0c4f112a678c88fd5d84016f745b8281aea8fd5bcc28b68c293e4ef4a62a62e478a8b6cd46f3da73fa34c63L
e2=0x1f9eaeL
c2=0x4d7ceaadf5e662ab2e0149a8d18a4777b4cd4a7712ab825cf913206c325e6abb88954ebc37b2bda19aed16c5938ac43f43966e96a86913129e38c853ecd4ebc89e806f823ffb802e3ddef0ac6c5ba078d3983393a91cd7a1b59660d47d2045c03ff529c341f3ed994235a68c57f8195f75d61fc8cac37e936d9a6b75c4bd2347L
from libnum import *
import gmpy2
p=gcd(n1,n2)
q1=n1/p
q2=n2/p
assert(p*q1==n1)
assert(p*q2==n2)
f1=(p-1)*(q1-1)
f2=(p-1)*(q2-1)
tmp=14

e1=e1/tmp
e2=e2/tmp
bd1=invmod(e1,f1)
bd2=invmod(e2,f2)

m1=pow(c1,bd1,n1)
m2=pow(c2,bd2,n2)
m3=m1%p
m2=m2%q2
m1=m1%q1

m=solve_crt([m1,m2,m3], [q1,q2,p]) 
print m
n=q1*q2
f=(q1-1)*(q2-1)
m=m%n
2d=invmod(7,f)
m=pow(m,2d,n)
print n2s(gmpy2.iroot(m, 2)[0])

感谢一叶飘零

原味瓜子、
关注
  • 9
    点赞
  • 15
    收藏
  • 打赏
    打赏
  • 1
    评论
【愚公系列】2022年04月 密码学攻击-RSA之共模和模不互素
时光隧道
09-23 4万+
RSA中N模数存在有共模和不共模,你能通过简单的算法把模数中的Q,P分离出来吗 我们的任务分为2个部分: 了解共模的原理,获得flag。 了解模不互素的原理,获得flag 此题为共模类型题,了解解题思路,获得flag 打开题目2中的task_cha,得到题目 根据题目可得 C1=24820838937466182485444267370237504001245434520824363343985049860235017106394020609491066932794628969688390297120
[DiceCTF 2023] rSabin
最新发布
weixin_52640415的博客
02-09 332
RSA 低加密指数,通过加解密交互分解N,e与phi不互素求明文(长明文),unpad PKCS1_OAEP填充
RSA之 两组e与φ(n)不互素解法
weixin_44617902的博客
11-13 2099
[De1CTF2019]babyrsa遇事不慌先拆解求p求 e1 e2求q1求flag 遇事不慌先拆解 题目源代码有四部分,分析最后一部分与flag有关的未知参数有 p,e1,e2,q1 所以解题步骤4步:1.求p(在第一部分)2.求e1,e2(在第二部分)3.求q1(在第三部分)4.求出flag 求p 一个未知数,两个列表,模运算,想到中国剩余定理。最后在开4次根解出p import gmpy2 def CRT(r,d): M = 1 l = len(r) for i in ra
RSA算法原理(二)
07-22 614
RSA算法原理(二) 转载:http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html 上一次,我介绍了一些数论知识。 有了这些知识,我们就可以看懂RSA算法。这是目前地球上最重要的...
RSA中 底数m和模数 n 不互素是仍然成立
Zetaa的博客
11-19 2514
前言:仅个人小记。 注意到 RSA 中并不要求消息 m 要和模数 n 互素,而 RSA 所依赖的“费马定理,欧拉定理”,仿佛都要要求 m 须和模数 n 互素。这里给出针对 RSA 中 n 为两个素数乘积的具体解释,实际上应归属于广义的欧拉定理,这里暂不讨论广义的欧拉定理。 前要知识 普通版的欧拉定理 aφ(m)%m≡1,其中a⊥m,φ(⋅)是欧拉函数{a}^{\varphi(m)} \%m\...
ctfshow funnyrsa1 e与phi不互素
m0_62506844的博客
01-19 1586
在网上找了一上午,看了好几个人的wp,资源不多,结合了好多人的内容总算梳理明白了 #第一段 e1 = 14606334023791426 p1 = 121009772735460235364940622989433807619211926015494087453674747614331295040063679722422298286549493698150690694965106103822315378461970129912436074962111424616439032849788953648286
RSA算法详解与练习
Atkx's Blog
10-04 2810
RSA算法 1.随机选择两个不相等的质数p和q。 2.计算p和q的乘积n(n=pq),n的长度就是密钥长度。 3.计算n的欧拉函数φ(n): φ(n) = (p-1)(q-1) 4.随机选择一个整数e,也就是公钥当中用来加密的那个数字 条件是1< e < φ(n),且e与φ(n) 互质。 5.计算e对于φ(n)的模反元素d。也就是密钥当中用来解密的那个数字 所谓"模反元素"就是指有一个整数d,可以使得ed被φ(n)除的余数为1,ed ≡1 (mod φ(n)) 。 6.将n和e封装成公钥,n和d
RSA公钥算法是怎么回事(二)
玉界尺的博客
12-06 665
上一节的内容中我们说了如何验证RSA中随机挑选的素数然后我们根据两个大素数p和q (p!= q ) ,例如素数p和q然后 n = p*q , 然后φ(n)=φ(p) * φ(q) = (p-1) * ( q-1 ) 记住n = p * q 这个数会用到然后选取与φ(n)互质的奇数 e (比φ(n)小)然后我们要求解 e*d 和 1 mod(φ(n)) 同余利用上面的结论求解 d 那么在线性同余方
buuctf rsa刷题记录(记几种类型的RSA攻击二)
舞动的獾
12-06 6072
前言 最近学习了点儿rsa这里总结以下我的buctf rsa部分刷题记录 dp,dp泄露 场景描述: 假设题目仅给出p,q,dp,dq,c,即不给公钥e 这种参数是为了让解密的候更快速产生的 dp=d%(p-1) dq=d%(q-1) 例如: buuctf RSA1 p = 863763376725700856709965348654109117132049150943361544753916...
RSA加密算法详解
热门推荐
juary_的专栏
07-19 3万+
研究RSA 不知为何,这几天突然有些心烦。望苍茫大地,凭添几分忧伤,可能是下雨的缘故。本篇主要想详细介绍RSA加密算法的原理,经常听别人说,这里是自己想搞清楚,弄明白。首先介绍了基本的数学原理,然后给出一个具体的计算例子和相关的理论充分性证明。 皓眸大前端开发学习 转载请注明出处:http://www.haomou.net/2014/08/27/2014_rsa/ RS
【中国剩余定理】互素与不互素的情况详解
momo11232323的博客
11-27 456
给出 a 和 m ,一个数有逆元的充分必要条件是gcd(a,m)=1,此逆元唯一存在,这方程 ax ≡ 1(mod m)的最小整数解 x 称为 a 模 m 的逆元。注意这里每次求得的解都要保证是最小的解的形式,可以通过用(x%mod+mod)%mod 的形式来控制。一个整数除以3余2、除以5余3、除以7余2,求这个整数。X2除以3余0、除以5余3、除以7余0;
中国剩余定理(互质和不互质)
qq_42434171的博客
08-15 1136
https://blog.csdn.net/u010468553/article/details/38346195 中国剩余定理的具体描述是这样的: 给出你n个ai和mi,最后让求出x的最小值是多少。 中国剩余定理说明:假设整数m1,m2, ... ,mn两两互质,则对任意的整数:a1,a2, ... ,an,方程组有解,并且通解可以用如下方式构造得到: 设是整数m1,m2, ...
RSA算法
qq_49896036的博客
09-26 6132
RSA算法 欧拉函数
RSA小公钥指数(e=3)的安全性分析
SecCloud的专栏
11-15 1万+
1. 引言 学术界普遍认为绝对不能选用e=3作为RSA公钥指数,就好像说我们再也不能用md5一样。但实际上,md5今天仍然广泛使用。一个密码算法在理论上被攻破,并不等于实践中就一定会有安全风险。比如,md5作为一种密码哈希函数,理论上它必须满足三个性质:(1) 输出的均匀分布性;(2) 抗碰撞攻击;(3) 抗原像攻击。当王小云发现了md5不满足性质(2)之后,理论上md5算法就被攻破——md
RSA大数运算实现(1024位)(2)
威化饼的一隅
12-08 5929
接上一篇文章   在有了大数运算库之后,实现RSA完全不在话下了! RSA算法 ①随机选择两个大素数p和q,计算n=p·q,以及φ(n)=(p-1)·(q-1) ; ②选择e=65537,如果不满足(e,φ(n))=1,则选择一个随机整数(e,φ(n))=1。 ③求出私钥d,使得e·d=1(mod φ(n))。 ④加密,明文为M,密文C=Me mod n; ⑤解密,密文为C,解密后明文M’= ...
crypto_whenthedayhascome2022(rsa求解中的e和phi不互素的案例)
耐酸碱高温固化材料近距离传输研究
10-10 335
个人理解就是当e和phi不互素rsa私钥无唯一解,需要利用中国剩余定理进行遍历求解。但以上文档里的例题是e与p-1和q-1均不互素。最后确实能得到flag,但从间复杂度上来看隐约觉得应该有更简便的做法,希望路过各位师傅能予以斧正。今年遇到的一道密码学线上赛题,感觉挺有意思大概记录一下。
RSA算法原理
luoyaxing0812的专栏
01-27 316
非对称、公钥加密、RSA、信息安全
RSA算法原理——(2)RSA简介及基础数论知识
weixin_30399871的博客
06-24 1568
上期为大家介绍了目前常见加密算法,相信阅读过的同学们对目前的加密算法也算是有了一个大概的了解。如果你对这些解密算法概念及特点还不是很清晰的话,昌昌非常推荐大家可以看看HTTPS的加密通信原理,因为HTTPS加密通信使用了目前主要的三种加密算法,大家可以从中体会到各种加密算法的优缺点。 一、目前常见加密算法简介 二、RSA算法介绍及数论知识介绍 ...
CTF_RSA_N不互素
fengerxi33的博客
03-08 472
N不互素 两个n里使用有相同的素数p或q 在CTF中,同样一个e(一般为65537)和m, 有两个或多个n和c,那么n之间可能是共享素数 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" for i in range(10): flag += a[random.randint(0
RSA算法详解
qq_43539854的博客
01-21 3万+
RSA算法是目前理论和实际应用中最为成熟的和完善的公钥密码体制。RSA用来解决对称密码的密钥分发问题。还可以用来进行数字签名来保证信息的否定与抵赖,利用数字签名较容易发现攻击者对信息的非法篡改以保证信息的完整性。 RSA的安全性依赖于大整数的因子分解的困难性,为了满足信息安全强度的需求,密钥的位数都比较多(521位甚至更高),导致幂模运算的运算量极大,成为提高RSA算法加解密速度的瓶颈。 RSA存在的问题: 1.产生密钥非常麻烦,受制于当前素数产生技术的限制,很难做到一次一密。 2.安全性。RSA的安全性依

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

原味瓜子、

真的会有人打赏吗

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值