非素数模下的二次剩余

于 2022-09-09 12:21:14 发布
阅读量917 收藏 2
点赞数 1
分类专栏: 密码学知识总结 文章标签: 算法 python Crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51999772/article/details/126780511
版权

非素数模下的二次剩余

I n s t r u c t i o n Instruction Instruction

二次剩余定义为,一个数 a a a,如果不是 p p p的倍数且模 p p p同余于某个数的平方,则称 a a a为模 p p p二次剩余
x 2 ≡ a ( m o d p ) x^2\equiv a\pmod p x2a(modp)
对于普通的二次剩余来说,要应用正常求解二次剩余的方法有很多种,但前提都是模数为素数,当模数为素数时,可应用求解的方法有Atkin 算法Cipolla 算法Legendre 算法Tonelli-Shanks 算法

算法的具体内容可见:二次剩余 - OI Wiki (oi-wiki.org)

另外关于Tonelli-Shanks算法的Python实现:(10条消息) Tonelli-Shanks算法_python_M3ng@L的博客-CSDN博客

但是这里我们并不重点看模数为素数的情况,而是看模数为非素数的情况,条件是在整数域的情况下

若模数不是素数,那么必为合数;将模数按质因数分解为素数后,把原来的同余式变换成同余式组;求解一元一次同余式组当然是应用孙子定理,但是这里并不是一元一次同余式组 { x ≡ a 1 ( m o d p 1 ) x ≡ a 2 ( m o d p 2 ) ⋯ x ≡ a n ( m o d p n ) \left\{ \begin{aligned} &x\equiv a_1\pmod {p_1}\\ & x\equiv a_2\pmod {p_2}\\ & \cdots \\ & x\equiv a_n\pmod {p_n} \end{aligned} \right. xa1(modp1)xa2(modp2)xan(modpn),而是一元二次同余式组 { x 2 ≡ a 1 ( m o d p 1 ) x 2 ≡ a 2 ( m o d p 2 ) ⋯ x 2 ≡ a n ( m o d p n ) \left\{ \begin{aligned} &x^2 \equiv a_1\pmod {p_1}\\ & x^2 \equiv a_2\pmod {p_2}\\ & \cdots \\ & x^2 \equiv a_n\pmod {p_n} \end{aligned} \right. x2a1(modp1)x2a2(modp2)x2an(modpn)

所以要先求解同余式组中每个同余式的二次剩余,得到一元二次同余式组中的每个同余式的解 x i x_i xi,再代入写作新的一元一次同余式组 { x ≡ x 1 ( m o d p 1 ) x ≡ x 2 ( m o d p 2 ) ⋯ x ≡ x n ( m o d p n ) \left\{ \begin{aligned} &x \equiv x_1\pmod {p_1}\\ & x\equiv x_2\pmod {p_2}\\ & \cdots \\ & x\equiv x_n\pmod {p_n} \end{aligned} \right. xx1(modp1)xx2(modp2)xxn(modpn),应用孙子定理求解出满足整个同余式组的 x x x;至此,对于非素数模下的二次剩余就求解完成了

另外有两个点需要注意,一是将初始 p p p分解质因数之后很可能是以 p 1 q 1 ⋅ p 2 q 2 ⋅ ⋯ ⋅ p n q n p_1^{q_1}\cdot p_2^{q_2}\cdot \cdots\cdot p_n^{q_n} p1q1p2q2pnqn的形式存在,但是按 p i q i p_i^{q_i} piqi分隔开来,也满足孙子定理的条件:模数之间两两互素。二是求解一元二次同余式组中的各个二次剩余,单个二次剩余可能会有多个解满足该二次同余式,那么就将所有解依次作为该同余式的唯一解构造新的一元一次同余式组求解

E x a m p l e Example Example

P r o b l e m Problem Problem

来源于Crypto CTF 2022 starter_ecc

from Crypto.Util.number import *
from secret import n, a, b, x, flag

y = bytes_to_long(flag.encode('utf-8'))

assert y < n
E = EllipticCurve(Zmod(n), [a, b])

try:
    G = E(x, y)
    print(f'x = {x}')
    print(f'a = {a}')
    print(f'b = {b}')
    print(f'n = {n}')
    print('Find the flag :P')
except:
    print('Ooops, ERROR :-(')
"""
x = 10715086071862673209484250490600018105614048117055336074437503883703510511249361224931983788156958581275946729175531468251871452856923140435984577574698574803934567774824230985421074605062371141877954182153046477020617917601884853827611232355455223966039590143622792803800879186033924150173912925208583
a = 31337
b = 66826418568487077181425396984743905464189470072466833884636947306507380342362386488703702812673327367379386970252278963682939080502468506452884260534949120967338532068983307061363686987539408216644249718950365322078643067666802845720939111758309026343239779555536517718292754561631504560989926785152983649035
n = 117224988229627436482659673624324558461989737163733991529810987781450160688540001366778824245275287757373389887319739241684244545745583212512813949172078079042775825145312900017512660931667853567060810331541927568102860039898116182248597291899498790518105909390331098630690977858767670061026931938152924839936
Find the flag :P
"""

A n a l y s i s Analysis Analysis

检验n发现是非素数,而flag作为y位于椭圆曲线上,其中已知椭圆曲线的参数以及y对应的横坐标x;根据函数EllipticCurve()传入的参数可知构造的椭圆曲线方程为
y 2 ≡ x 3 + a x + b ( m o d n ) y^2\equiv x^3 + ax + b \pmod n y2x3+ax+b(modn)
那么相当于同余式右侧已知,求左侧的 y y y值大小;也就是一个非素数模下的二次剩余 x 2 ≡ a ( m o d n ) x^2\equiv a\pmod n x2a(modn),按照之前分析非素数模下的二次剩余求解即可

先将n分解为质因数乘积的形式

factors_of_n = ecm.factor(n)
# 也可以用factor()
factors_of_n = factor(n)
"""
2^63 * 690712633549859897233^6 * 651132262883189171676209466993073^5
"""

可以使用ecm.factor()的原因是在特定条件下(其中一个因子大小大约为80bits 或者说是 25个十进制数字),ta的质因数分解速度是最快的

接着将原来的二次同余式拆分成一元二次同余式组 { x 2 ≡ a 1 ( m o d p 1 ) x 2 ≡ a 2 ( m o d p 2 ) ⋯ x 2 ≡ a n ( m o d p n ) \left\{ \begin{aligned} &x^2 \equiv a_1\pmod {p_1}\\ & x^2 \equiv a_2\pmod {p_2}\\ & \cdots \\ & x^2 \equiv a_n\pmod {p_n} \end{aligned} \right. x2a1(modp1)x2a2(modp2)x2an(modpn),单独对每个同余式进行二次剩余求解

from sympy.ntheory.residue_ntheory import _sqrt_mod_prime_power, _sqrt_mod1
x = 10715086071862673209484250490600018105614048117055336074437503883703510511249361224931983788156958581275946729175531468251871452856923140435984577574698574803934567774824230985421074605062371141877954182153046477020617917601884853827611232355455223966039590143622792803800879186033924150173912925208583
a = 31337
b = 66826418568487077181425396984743905464189470072466833884636947306507380342362386488703702812673327367379386970252278963682939080502468506452884260534949120967338532068983307061363686987539408216644249718950365322078643067666802845720939111758309026343239779555536517718292754561631504560989926785152983649035
n = 117224988229627436482659673624324558461989737163733991529810987781450160688540001366778824245275287757373389887319739241684244545745583212512813949172078079042775825145312900017512660931667853567060810331541927568102860039898116182248597291899498790518105909390331098630690977858767670061026931938152924839936

factors_of_n = {2:63, 690712633549859897233:6, 651132262883189171676209466993073:5}
A = x**3 + a*x + b 

# 之后的x是一元二次同余式组中不同二次剩余的解的结合x
x = []  
p = []  

for p_i, e_i in factors_of_n.items():  
    if A % p_i == 0:  
        x_i = _sqrt_mod1(A, p_i, e_i)  # find solution to ``x**2 == a mod p**n`` when ``a % p == 0``
    else:  
        x_i = _sqrt_mod_prime_power(A, p_i, e_i)  # find the solutions to ``x**2 = a mod p**k`` when ``a % p != 0``
    x.append(x_i)  
    p.append(p_i**e_i)

求得每个二次剩余的解 x i x_i xi,将各个 x i x_i xi重新构造出一个新的同余式组 { x ≡ x 1 ( m o d p 1 ) x ≡ x 2 ( m o d p 2 ) ⋯ x ≡ x n ( m o d p n ) \left\{ \begin{aligned} &x \equiv x_1\pmod {p_1}\\ & x\equiv x_2\pmod {p_2}\\ & \cdots \\ & x\equiv x_n\pmod {p_n} \end{aligned} \right. xx1(modp1)xx2(modp2)xxn(modpn);但是这里一个二次剩余会产生多个解,也就是 x i j x_{i_j} xij,那么按照之前提到的解决办法,将每个二次剩余的解都先看作是唯一解构造新的同余式组,直到将每个二次剩余的解按照不同组合遍历完即可,求得的结果设置条件判断输出

from sympy.polys.galoistools import gf_crt
from sympy.polys.domains import ZZ
from Crypto.Util.number import *

...

for combin_x in _product(*x):
    r = gf_crt(combin_x, p, ZZ)
    flag = long_to_bytes(int(r))
    if b'CTF' in flag:
        print(flag)
        break

S o l u t i o n Solution Solution

# type: ignore
from sympy.ntheory.residue_ntheory import _sqrt_mod_prime_power, _product
from sympy.polys.galoistools import gf_crt1, gf_crt2, gf_crt
from sympy.polys.domains import ZZ
from Crypto.Util.number import *

x = 10715086071862673209484250490600018105614048117055336074437503883703510511249361224931983788156958581275946729175531468251871452856923140435984577574698574803934567774824230985421074605062371141877954182153046477020617917601884853827611232355455223966039590143622792803800879186033924150173912925208583
a = 31337
b = 66826418568487077181425396984743905464189470072466833884636947306507380342362386488703702812673327367379386970252278963682939080502468506452884260534949120967338532068983307061363686987539408216644249718950365322078643067666802845720939111758309026343239779555536517718292754561631504560989926785152983649035
n = 117224988229627436482659673624324558461989737163733991529810987781450160688540001366778824245275287757373389887319739241684244545745583212512813949172078079042775825145312900017512660931667853567060810331541927568102860039898116182248597291899498790518105909390331098630690977858767670061026931938152924839936


factors_of_n = {2:63, 690712633549859897233:6, 651132262883189171676209466993073:5}
A = x**3 + a*x + b 

# 之后的x是一元二次同余式组中不同二次剩余的解的结合x
x = []  
p = []  

for p_i, e_i in factors_of_n.items():  
    if A % p_i == 0:  
        x_i = _sqrt_mod1(A, p_i, e_i)  # find solution to ``x**2 == a mod p**n`` when ``a % p == 0``
    else:  
        x_i = _sqrt_mod_prime_power(A, p_i, e_i)  # find the solutions to ``x**2 = a mod p**k`` when ``a % p != 0``
    x.append(x_i)  
    p.append(p_i**e_i)

for combin_x in _product(*x):
    r = gf_crt(combin_x, p, ZZ)
    flag = long_to_bytes(int(r))
    if b'CTF' in flag:
        print(flag)
        break
# # 下面这种方法也可以求解,将CRT分成两部分解决,具体使用方法可见http://lidavidm.github.io/sympy/_modules/sympy/polys/galoistools.html
# mm, e, s = gf_crt1(pv ,ZZ)
# for vx in _product(*v):
#     r = gf_crt2(vx, pv, mm, e, s, ZZ)
#     flag = long_to_bytes(int(r))
#     if b'CTF' in flag:
#         print(flag)
#         break

R e f e r e n c e Reference Reference

CTFtime.org / Crypto CTF 2022 / starter_ecc / Writeup

M3ng@L
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[牛客多校第九场]Quadratic equation(二次剩余)
森世
08-20 528
题意: 给定两个数字在模1e9 + 7意义下x + y的和以及x和y的乘积,求x和y 题目分析 由于x和y的取值范围,我们可以得到x + y的范围为 0 <= x + y < 2 * p,那么对于第一个式子我们可以得到: x + y = b 或者 x + y = p + b的两种情况. 对于第一种情况,将第一个式子代入第二个式子可得 y * (b - y) = k * p + c 移...
二次剩余
qq_17080419的博客
11-01 921
二次剩余 定义:对于n、p,若存在x,使得x2≡n(mod p)x^2\equiv n(mod\ p)x2≡n(mod p),则称n为模p意义下的二次剩余 也就是说,如果n是模p的二次剩余。那么n mod p\sqrt n\ mod\ pn​ mod p,可以用二次同余方程的解 xxx 来代替n\sqrt nn​,暴力地找就是 x2%p=...
二次剩余学习笔记
L_0_Forever_LF的专栏
01-13 2830
两篇比较好的blog,第二篇介绍了一些拓展的东西 http://blog.csdn.net/a_crazy_czy/article/details/51959546 http://blog.miskcoo.com/2014/08/quadratic-residue 因为个人数学不好,学这东西很多东西感性的理解就过掉了qaq,这里的笔记并不严谨 以下讨论的是模数P为奇素数的情况 先定义一个
cdqz2017-test1-数论 (BSGS + 二次剩余 + CRT)
weixin_33834075的博客
04-28 91
若m=0, 就是求n^2n ≡ x mod p (x--) 因为一定优解,所以x一定是p的二次剩余 令g为p的1个原根,且g^k ≡ x mod p 则k是偶数,证明k是偶数: 假设 g1^k1 ≡ x mod p g2^k2 ≡ x mod p,k2是偶数 g1^k3 ≡ g2 mod p 那么 g1^k3k2 ≡ x ≡ g1^k1 mod p 由欧拉定理可得,k3...
数论概论读书笔记 21.-1是模p平方剩余吗? 2呢
Feynman1999的博客
08-27 1672
-1是模p平方剩余吗? 2呢 通过前一章的讨论,我们清楚了对于任何一个素数,[1,p−1][1,p−1][1,p-1]有一半是二次剩余,以及哪些数字是二次剩余,哪些不是。 现在我们考虑对于一个数aaa,看看对于哪些ppp,这个数是QRQRQR 先考虑这样一个问题,对于哪些素数ppp,同余式x2≡−1&nbsp;(mod&nbsp;p)x2≡−1&nbsp;(mod&nbsp;p)x^2...
二次剩余素数形状
03-02
二次剩余素数形状,吴勇,余愚,本文应用高斯二次互反律,给出了对于奇素数p,以素数q为二次剩余的形状。获得二次剩余判别问题的一个新定理:素数q是奇素数p的二次
环Fp+uFp+vFp+uvFp上的二次剩余码 (2015年)
05-24
针对环Fp+uFp+vFp+uvFp上的二次剩余码进行了研究,其中u2=u,v2=v,uv=vu,p是一个奇素数。首先引入了环Fp+uFp+vFp+uvFp上长为n的循环码的相关知识,用幂等元的形式定义了环Fp+uFp+vFp+uvFp上的二次剩余码,给出了其...
A的模P平方根的计算方法和大数的模运算-java
04-07
System.out.println("该程序是计算对于A... System.out.println("即求解二次同余式:x^2和A模P(x^2=a(mod p))同余式的解,"); System.out.println("其中p-1=(2^t)*s,t>=1,s是奇数,n是模p平方剩余");以及大数模运算
2021年人教版小学五年级下册数学期末试卷 (3).doc
06-20
7. 五(1)班的同学在山青世界实践基地分小组结绳比赛,每4人一组,每5人一组或每6人一组,都没有剩余,五(1)班学生至少有( )人。 8. 分数单位是的最大真分数是( ),最小假分数是( )。 9. 一个立体图形如图 ...
ACM巨全模板 .pdf
10-07
11.二次剩余((ax+k)2≡n(modp)(ax+k)^2≡n(mod p)(ax+k) 2 ≡n(modp)) 12.十进制矩阵快速幂(n很大很大的时候) 13.欧拉函数 14.费马小定理 15.二阶常系数递推关系求解方法 (a_n=p*a_{n-1}+q*a_{n-2}) 16.高斯消元 ...
[羊城杯 2020]GMC 关于二次剩余
m0_62506844的博客
07-03 541
ctf crypto 有关二次剩余例题
二次剩余的判定及Cipolla算法
稻云麦花的博客
09-09 1362
二次剩余 ppp是奇素数。所有的运算都是在群Zp∗Z_{p}^{*}Zp∗​中的运算。方程x2=a≠0x^2=a \neq 0x2=a̸​=0问是否有解,以及解是什么?若有解,aaa就是模ppp的二次剩余;若无解,则aaa就是模ppp的二次剩余。 a=0a=0a=0,显然只有唯一解x=0x=0x=0. a≠0a\neq 0a̸​=0,有解等价于ap−12=1a^{\frac{p-1}{2...
二次剩余小结
a_forever_dream的博客
06-19 284
介绍 对于一个正整数 ddd,如果存在一个 xxx,满足 x2≡d(modp)x^2\equiv d \pmod px2≡d(modp),那么称 ddd 是模 ppp 的二次剩余判断 下面只讨论 ppp 是奇素数的情况。 勒让德符号 定义勒让德符号为: (np)={1       n是模p的二次剩余−1    n不是模p的二次剩余0     &n
URAL 1132 二次剩余
beihai2013
11-12 385
URAL 1132 题目链接: http://acm.timus.ru/problem.aspx?space=1&num=1132 题意: 对于方程x * x = n (mod p)是否有解,p是素数且与n互素 思路: 二次剩余版题。 感谢ACdreamer大神http://blog.csdn.net/acdreamers/article/details/10182281 关于二次
phrackCTF ---hard RSA
weixin_44110537的博客
08-09 683
题目给的是一个二次剩余 首先分解成: c= x2 %p c=x2 %q 分别求得 x1,-x1,(mod p) x2,-x2(mod q) 然后 用中国剩余定理合并(一共有4种情况) crt([余数集合],[模数集合]) #PCTF{sp3ci4l_rsa}
【ctf-4】同余方程+RSA算法
JacinLee的博客
05-15 2007
公钥密码学数学基础、RSA算法、模幂运算
###RSA 学习记录:
DeeBaTO的博客
12-20 550
###RSA 学习记录: ___________________________________________________________________________________________________________________________________________看[0xDktb]大佬的blog学习路程: url:https://0xdktb.top/2020/02/28/Summary-of-Crypto-in-CTF-RSA/ 一.2020/12/19 ①:绪论:
2022-03-09
m0_57291352的博客
03-09 368
d3factor (来源:AntCTF & Dˆ3CTF 2022) from Crypto.Util.number import bytes_to_long, getPrime from secret import msg from sympy import nextprime from gmpy2 import invert from hashlib import md5 flag = 'd3ctf{'+md5(msg).hexdigest()+'}' p = getPrime(256) q
【ctf-3】数论基础+Crypto初步
JacinLee的博客
05-09 3948
ctf训练第三周,进行数论基础初步学习与Crypto的练习!
高斯质数 复平面 csdn
最新发布
08-13
高斯质数是指在复平面上的整数,即实部和虚部都是整数的复数。高斯质数的概念是由德国数学家高斯提出的。 复平面是由实轴和虚轴组成的平面,其中实轴表示实数的轴,虚轴表示虚数的轴。复数可以表示为a+bi的形式,其中a是实部,b是虚部。 高斯质数是指在复平面上的整数中,仅有四个数是无法被其他复数整除的,它们分别是1+i,1-i,-1+i和-1-i。这四个数在复平面上形成了一个正方形,被称为高斯整数的单位圆。 与传统意义上的质数类似,高斯质数也具有唯一分解定理。任何一个零的高斯整数都可以唯一地表示为若干个高斯质数的乘积。这个定理为复数的因子分解提供了一个重要的工具。 高斯质数在数论和代数中有着广泛的应用。它们可以用于解决一些整数方程和二次剩余的问题。同时,高斯质数也与素数定理、费马小定理等数论中的重要定理有关联。 总结来说,高斯质数是复平面上的整数,具有唯一分解定理和在数论和代数中的广泛应用。了解高斯质数有助于我们深入理解复数的性质和应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M3ng@L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值