CTF-RSA1(已知p、q、dp、dq、c)

最新推荐文章于 2024-03-04 12:46:48 发布
最新推荐文章于 2024-03-04 12:46:48 发布
阅读量9.4k 收藏 57
点赞数 18
分类专栏: CTF-crypt 文章标签: CTF crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32350719/article/details/102719279
版权

题目来源:buuCTF-crypto-RSA1
题目:

p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469 
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929 
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041 
c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852

很明显,给了密文c和一些参数,解密求m

一切以解题为目的的抄代码都是耍流氓,我们还是要从数学理论上去解决它,最后再根据数学理论来写代码。

公式推导:

先摆出已知条件:

c ≡ m e m o d n c≡m^{e} mod n cmemodn
m ≡ c d m o d n m≡c^{d} mod n mcdmodn
ϕ ( n ) = ( p − 1 ) ∗ ( q − 1 ) ϕ(n)=(p−1)∗(q−1) ϕ(n)=(p1)(q1)
d ∗ e ≡ 1 m o d ϕ ( n ) d∗e≡1 mod ϕ(n) de1modϕ(n)
d p ≡ d m o d ( p − 1 ) dp≡d mod (p−1) dpdmod(p1)
d q ≡ d m o d ( q − 1 ) dq≡d mod (q−1) dqdmod(q1)

目的很明确,要想得到m,就要得到 c d c^{d} cd

利用中国剩余定理,我们可以得到
m 1 ≡ c d m o d p , m 2 ≡ c d m o d q m1≡c^{d} mod p,m2≡c^{d} mod q m1cdmodp,m2cdmodq

这里肯定有很多人不理解,简单证明一下

m ≡ c d m o d n m≡c^{d} mod n mcdmodn,可以得到式子 m = c d + k ∗ n m=c^{d}+k∗n m=cd+kn
又因为 n = p ∗ q n=p∗q n=pq
所以可以得到 m = c d + p ∗ q ∗ k m=c^{d}+p∗q∗k m=cd+pqk

上述式子,同时取余q和p,可以分别得到
m 1 ≡ c d m o d p , m 2 ≡ c d m o d q m1≡c^{d} mod p,m2≡c^{d} mod q m1cdmodp,m2cdmodq

带入上面的公式,可以得到 c d = k p + m 1 c^{d}=kp+m1 cd=kp+m1

我们把这个带入m2可以得到

m 2 ≡ ( k p + m 1 ) m o d q m2≡(kp+m1) mod q m2(kp+m1)modq

等式两边同时减去m1,可以得到

( m 2 − m 1 ) ≡ k p m o d q (m2−m1)≡kp mod q (m2m1)kpmodq

这里因为 g c d ( p , q ) = 1 gcd(p,q)=1 gcd(p,q)=1

所以可以求p的逆元,得到 ( m 2 − m 1 ) ∗ p − 1 ≡ k m o d q (m2−m1)∗p^{−1}≡k mod q (m2m1)p1kmodq
所以这里得到如下式子

k ≡ ( m 2 − m 1 ) ∗ p − 1 m o d q k≡(m2−m1)∗p^{−1} mod q k(m2m1)p1modq
c d = k p + m 1 c^{d}=kp+m1 cd=kp+m1

我们上下两个式子合并,得到

c d = ( ( m 2 − m 1 ) ∗ p − 1 m o d q ) ∗ p + m 1 c^{d}=((m2−m1)∗p^{−1} mod q)*p+m1 cd=((m2m1)p1modq)p+m1,
最后带入 m ≡ c d m o d n m≡c^{d} mod n mcdmodn

得到 m ≡ ( ( ( m 2 − m 1 ) ∗ p − 1 m o d q ) ∗ p + m 1 ) m o d n m≡(((m2−m1)∗p^{−1} mod q)*p+m1) mod n m(((m2m1)p1modq)p+m1)modn
现在只剩最后一步了,即这里的m1和m2怎么求?这时候我们有

d ≡ d p m o d ( p − 1 ) , d ≡ d q m o d ( q − 1 ) d≡d^{p} mod (p−1),d≡d^{q} mod (q−1) ddpmod(p1),ddqmod(q1)

分别带入m1,m2,有

m 1 ≡ c d q m o d ( q − 1 ) m o d q , m1≡c^{dq mod (q−1)} mod q, m1cdqmod(q1)modq,
m 2 ≡ c d p m o d ( p − 1 ) m o d p m2≡c^{dp mod (p−1)} mod p m2cdpmod(p1)modp

这里肯定有人又不理解为什么可以直接带入了,我们再证明一下,这里用到了费马小定理即假如p是质数,且 g c d ( k , p ) = 1 gcd(k,p)=1 gcd(k,p)=1,则
k ( p − 1 ) ≡ 1 m o d p k(p−1)≡1 mod p k(p1)1modp

所以如果我们有等式

d=dp+k∗(p−1)

我们直接带入,有

m 2 ≡ c d p + k ∗ ( p − 1 ) m o d p m2≡c^{dp+k∗(p−1) }mod p m2cdp+k(p1)modp

这里的指数,我们拆开,为

m 2 ≡ c d p ∗ c k ∗ ( p − 1 ) m o d p m2≡c^{dp}∗c^{k∗(p−1) }mod p m2cdpck(p1)modp

这里的

c k ∗ ( p − 1 ) ≡ 1 m o d p c^{k∗(p−1)}≡1 mod p ck(p1)1modp(用了刚才说的费马小定理)
所以
m2≡c^{dp} mod p$

那么m1根据对称性也可以同理得到

m 1 ≡ c d q m o d q m1≡c^{dq} mod q m1cdqmodq

最终,我们拥有了如下的条件:
m1≡c^{dq }mod q
m2≡c^{dp} mod p
m≡(((m2−m1)∗p−1 mod q)p+m1) mod n

一切就绪,等号右边的全部都是已知的,开算
上代码

import libnum
def egcd(a, b):
    if (b == 0):
        return 1, 0, a
    else:
        x, y, q = egcd(b, a % b)  # q = GCD(a, b) = GCD(b, a%b)
        x, y = y, (x - (a // b) * y)
        return x, y, q


def mod_inv(a, b):
    return egcd(a, b)[0] % b  # 求a模b得逆

p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229
q = 12640674973996472769176047937170883420927050821480010581593137135372473880595613737337630629752577346147039284030082593490776630572584959954205336880228469
dp = 6500795702216834621109042351193261530650043841056252930930949663358625016881832840728066026150264693076109354874099841380454881716097778307268116910582929
dq = 783472263673553449019532580386470672380574033551303889137911760438881683674556098098256795673512201963002175438762767516968043599582527539160811120550041
c = 24722305403887382073567316467649080662631552905960229399079107995602154418176056335800638887527614164073530437657085079676157350205351945222989351316076486573599576041978339872265925062764318536089007310270278526159678937431903862892400747915525118983959970607934142974736675784325993445942031372107342103852

invq=mod_inv(p,q)
mp=pow(c,dp,p)
mq=pow(c,dq,q)
m=((mp-mq)*invq%p)*q+mq
print(libnum.n2s(m))

最终得到答案
在这里插入图片描述

RyanWang0000
关注
  • 18
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
密码学——RSA1
08-04
1、随机数的生成 2、Miller—Rabin 素性检验 1、加密算法 2、解密算法 1、大整数类的定义与实现 2、大素数的产生 3、快速模、乘法逆元 4、加解
crypto-tools:非常基本的密码分析工具
06-30
加密工具 一些非常简单的工具是为了完成作为在的密码学模块的一部分的评估 该工具使用 Jade、Sass 和 CoffeeScript 构建,最容易使用 Harp.js 或通过在 Web 浏览器中运行 /compiled 中的 index.html 页面来运行。 某些功能(例如结果保留)在 Google Chrome 及其衍生产品以外的浏览器中无法使用。 工具 包括的工具有: 字符频率分析仪 带有字符集旋转的替换密码
RSA 2048位算法的主要参数N,E,P,Q,DP,DQ,Qinv,D分别是什么意思 哪个是通常所说的公钥与私钥 -安全行业基础篇5
最新发布
Innocence_0的博客
03-04 1395
N(Modulus):模数,是两个大素数P和Q的乘积。N的长度决定了RSA算法的安全性。E(Public Exponent):公钥指数,通常为65537(0x10001)。E用于加密数据,是公钥的一部分。P(Prime Factor):素数P,是模数N的一个因子。Q(Prime Factor):素数Q,是模数N的另一个因子。DP(D mod (P-1)):D对(P-1)取模的结果,用于解密数据。DQ(D mod (Q-1)):D对(Q-1)取模的结果,用于解密数据。
BUUCTF_Crypto_Dangerous RSA
qq_58370970的博客
11-17 430
题目:给了一个文件 用txt文本打开 从字面上就可以知道这是一个危险的加密,由于e=3,攻击者可以很容易的解开 当e=3时: 情况一,当m的e次方小于n时,m^emodn=c,这个时候m^e=c,直接对c开三次方得到m 情况二,当m的e次方大于n时,m^e=k*n+c,由于e比较小,可以直接爆破将k求出来,在开e次方解出m(求出当k满足k*n+c能够被开e次方根时) 方法一: 直接开方: import gmpy2 import libnum n=0x52d483c27cd80655..
Crypto笔记一、RSA的python实现。
admin的博客
09-10 382
一、已知p,q,e。求d import math import os # 假设p,q是下面的数字 p=input('请输入p: ') q=input('请输入q: ') n = p * q phi_n = (p-1) * (q-1) # 因为e一般是65537,但是也可以指定符合要求的e值 e = 0x10001 d = 0 d = exgcd(e, phi_n) if(d == 0): print("Can't generate a proper number d to fit the r
RSA
Starbright.的博客
04-07 1655
1.欧拉定理(费马小定理拓展): 费马小定理:如果p是一个质数,而整数a不是p的倍数,则有a^(p-1)≡1(mod p) 欧拉定理:若n,a为正整数,且n,a 互质,则有a^(φ(n))≡1(mod n)。 注:n=8,φ(n)=4,因为1,3,5,7均和8互质。当n为质数时φ(n)=n-1.也就推出(a^(n-1)) % n=1 推论: 欧拉函数是积性函数 :若m,n互质,φ(mn)=φ(m)φ(n); 特殊性质:当n为奇质数时,φ(2n)=φ(n); 若n为质数则,φ(n)=n-1。 ** 2.RSA
BUUCTF RSA题目全解1
MikeCoke的博客
07-04 2万+
这里写目录标题RSArsarsa三级目录二级目录三级目录 RSA 直接用工具RSA Tool2点击这篇文章有介绍怎么用 得到flag{125631357777427553} rsarsa 也可以直接用工具RSA Tool2: 注意:题目中的e是十进制,在RSA Tool2中要改为16进制,用RSA Tool2求出私钥d,再用python函数pow()即可求出flag e = 65537 p...
buu RSA1
ao52426055的博客
11-26 1809
查看题目 类型:dp+dq+p+q+c = m 已知dp dq泄露 使用脚本dp+dq+p+q+c = m 这个就用python来写即可 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 1264067497399647276917
BUUCTF RSA(一)
qq_52193383的博客
08-06 6609
这里写目录标题RSArsarsaRSA1RSA2RSA3RSA RSA rsarsa RSA1 RSA2 RSA3 RSA 1.RSA 在一次RSA密钥对生成中,假设p= 473398607161 ,q= 4511491 ,e= 17 ,求解出d作为flag提交. import gmpy2 p = 473398607161 q = 4511491 e = 17 d = int(gmpy2.invert(e,(p-1)*(q-1))) print(d) 2.rsarsa import gmpy2 p =
BUUCTF RSA1 解题代码以及详细公式推导
晓寒的博客
07-06 3427
题目 首先查看题目,已知p, q, dp, dq和密文c,求解明文 解题代码 先把代码附上 import gmpy2 p =8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 12640674973996472769176047
BUUCTFRSA1)
Bigotry77的博客
07-27 2675
看到题目第一眼能想到的就是RSA算法了,然后百度RSA算法的原理和具体描述,emmm......发现不是很懂 RSA公开密钥密码体制的原理是:根据数论,寻求两个大素数比较简单,而将它们的乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。 可以使用这个工具:RSA-Tool2 by tE 具体下载需要自己去百度找一下哈,我自己也是在学长给的工具包里找到的。。。其中Number Base为10,Public Exponent(E)为11,只是针对这一题,别的题目可能不一样。 还有一...
CTF-RSA-tool-master.zip
01-19
针对CTFCRYPTORSA工具
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
CTF-RSA-tool.zip
01-22
CTF-RSA-tool 是一款基于python以及sage的小工具,助不熟悉RSACTFer在CTF比赛中快速解决RSA相关的 基本题型 。
CTF-RSA:总结一下各路大师傅的RSA脚本233
04-28
要求已知 p(或 m) 的大部分比特 已知 消息 m 的大部分比特,可还原 完整消息 已知 素数 p 的大部分比特,可分解 n 广播攻击(boradcast attack) 加密指数/低指数加密广播攻击/crack.py(python2) 高加密指数 对...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF ——crypto ——RSA原理及各种题型总结
热门推荐
小锤队长的博客
09-23 6万+
RSA原理及各种题型总结 Table of Contents 一,原理: 信息传递的过程: rsa加密的过程: 二,CTF 中的 常见的十种类型: 1,已知 p ,q,e 求 d? 2,已知 n(比较小),e 求 d? 3,已知 公钥(n, e) 和 密文 c 求 明文 m? 4,已知密文文件 flag.enc / cipher.bin /flag.b64和 公钥文件 ...
[BJDCTF2020]RSA
rang的博客
12-08 1412
题目给了c和e、同公钥(e,n)加密的密文、具有同q的公钥加密的密文 思路:由同q的公钥,也就是n公用了素数q,通过gcd函数可以得到p,也就有p和q 此时就差e就能解出题目,已知e的范围、相同公钥加密的密文 可由_294c == pow(294,e,n)爆破e,脚本如下: import gmpy2 from Crypto.Util.number import * # flag=open("flag","rb").read() # p=getPrime(1024) # q=getPrime(1024) #
Crypto | CTF】BUUCTF rsarsa1
weixin_46301214的博客
02-03 558
这道题给出了 p,q,E,就是给了两个质数和公钥。最后把私钥和质数放进去解密即可得到解密后的明文。天命:第二题RSA解密啦,这题比较正宗。有这三个东西,那就可以得出私钥了。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值