文中提到的论文是指 这个,论文中对Sylvester结式法做了简要的介绍
Sylvester结式法,结式,消元法,ctfshow 七夕杯 LUCK7,crypto,WriteUp
对于多变元方程组,求解的主要问题归结于消元问题,通过消元法去掉其中某些变元,使复杂方程组变成一个求解简单的单变元多项式方程。
现主要消元法有
-
吴方法
-
Grobner 基方法
-
迪克逊(Dixon)结式法
-
希儿维斯特(Sylvester)结式法
-
…
其中 Sylvester 结式法是一种经典的基本消元方法。
结式(Eliminant)
定义来自百度百科
指由两个多项式的系数所构成的一种行列式,或称Sylvester行列式,结式可判断两个多项式是否有公根、是否互素,以及判断多项式是否有重根。
设
f
(
x
)
=
a
0
x
n
+
a
1
x
n
−
1
+
.
.
.
+
a
n
g
(
x
)
=
b
0
x
m
+
b
1
x
m
−
1
+
.
.
.
+
b
m
f(x)=a_0x^n+a_1x^{n-1}+...+a_n\\ g(x)=b_0x^m+b_1x^{m-1}+...+b_m
f(x)=a0xn+a1xn−1+...+ang(x)=b0xm+b1xm−1+...+bm
将
f
(
x
)
f(x)
f(x) 分别乘以
x
x
x ~
x
m
x^m
xm,得到
m
m
m 个等式
同理,将 g ( x ) g(x) g(x) 分别乘以 x x x ~ x n x^n xn,得到 n n n 个等式
由此定义行列式
R
(
f
,
g
)
R(f,g)
R(f,g)
R
(
f
,
g
)
=
∣
a
0
a
1
a
2
.
.
.
.
.
.
a
n
0
.
.
.
0
0
a
0
a
1
.
.
.
.
.
.
a
n
−
1
a
n
.
.
.
0
0
0
a
0
.
.
.
.
.
.
a
n
−
2
a
n
−
1
.
.
.
0
⋮
⋮
⋮
⋮
⋮
⋮
⋮
⋮
⋮
0
0
.
.
.
0
a
0
.
.
.
.
.
.
.
.
.
a
n
b
0
b
1
b
2
.
.
.
.
.
.
.
.
.
b
m
.
.
.
0
0
b
0
b
1
.
.
.
.
.
.
.
.
.
b
m
−
1
b
m
.
.
.
⋮
⋮
⋮
⋮
⋮
⋮
⋮
⋮
⋮
0
.
.
.
0
b
0
b
1
.
.
.
.
.
.
.
.
.
b
m
∣
R(f,g)=\left| \begin{matrix} a_0 & a_1 & a_2 & ... & ... & a_n & 0 & ... & 0\\ 0 & a_0 & a_1 & ... & ... & a_{n-1} & a_n & ... & 0\\ 0 & 0 & a_0 & ... & ... & a_{n-2} & a_{n-1} & ... & 0\\ \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots\\ 0 & 0 & ... & 0 & a_0 & ... & ... & ... & a_n\\ b_0 & b_1 & b_2 & ... & ... & ... & b_m & ... & 0\\ 0 & b_0 & b_1 & ... & ... & ... & b_{m-1} & b_m & ...\\ \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots & \vdots\\ 0 & ... & 0 & b_0 & b_1 & ... & ... & ... & b_m \end{matrix} \right|
R(f,g)=∣
∣a000⋮0b00⋮0a1a00⋮0b1b0⋮...a2a1a0⋮...b2b1⋮0.........⋮0......⋮b0.........⋮a0......⋮b1anan−1an−2⋮.........⋮...0anan−1⋮...bmbm−1⋮............⋮......bm⋮...000⋮an0...⋮bm∣
∣
R
(
f
,
g
)
R(f,g)
R(f,g) 为
f
f
f 和
g
g
g 的结式
相关定理
- (在复数域中)多项式 f f f 和 g g g 有公共根的充要条件是它们的结式 R ( f , g ) = 0 R(f,g)=0 R(f,g)=0
- 多项式 f f f 和 g g g 互素的充要条件是它们的结式 R ( f , g ) ≠ 0 R(f,g)\not=0 R(f,g)=0
Sylvester 结式法消元
设二元方程
f
(
x
,
y
)
=
a
n
(
y
)
x
n
+
a
n
−
1
(
y
)
x
n
−
2
+
a
n
−
2
x
n
−
2
+
.
.
.
+
a
0
(
y
)
g
(
x
,
y
)
=
b
n
(
y
)
x
m
+
b
m
−
1
(
y
)
x
m
−
2
+
b
m
−
2
x
m
−
2
+
.
.
.
+
b
0
(
y
)
f(x,y)=a_n(y)x^n+a_{n-1}(y)x^{n-2}+a_{n-2}x^{n-2}+...+a_0(y)\\ g(x,y)=b_n(y)x^m+b_{m-1}(y)x^{m-2}+b_{m-2}x^{m-2}+...+b_0(y)\\
f(x,y)=an(y)xn+an−1(y)xn−2+an−2xn−2+...+a0(y)g(x,y)=bn(y)xm+bm−1(y)xm−2+bm−2xm−2+...+b0(y)
其中,
a
i
(
y
)
,
b
j
(
y
)
a_i(y),b_j(y)
ai(y),bj(y) 可以看作是
f
(
x
,
y
)
,
g
(
x
,
y
)
f(x,y),g(x,y)
f(x,y),g(x,y) 中
x
i
,
x
j
x^i,x^j
xi,xj 的系数
利用上诉方法求出 Sylvester 结式,这样将求解方程组公共零点解,转化为对其求解 Sylvester 结式,并使结式 R ( f , g ) = 0 R(f,g)=0 R(f,g)=0
于是通过利用求解结式的方法,消去了变量 x x x(或者变元 y y y),将复杂多项式方程简化为求解单一变元多项式的根。
这就是 Sylvester 结式法消元的原理
实现
论文中对实现流程的描述
此处我使用 sageMath 集成的函数来实现
尝试求解以下方程组的零解
f
(
x
,
y
)
=
x
3
−
2
x
2
y
+
4
x
y
−
y
2
−
2
g
(
x
,
y
)
=
2
x
y
2
+
x
y
−
y
3
−
2
\begin{array}{l} f(x,y)=x^3 - 2x^2y + 4xy - y^2 - 2\\ g(x,y)=2xy^2 + xy - y^3 - 2 \end{array}
f(x,y)=x3−2x2y+4xy−y2−2g(x,y)=2xy2+xy−y3−2
对这个方程组
from sage.matrix.matrix2 import Matrix
P.<x,y> = PolynomialRing(ZZ)
f = x^3 - 2*x^2*y + 4*x*y - y^2 - 2
g = 2*x*y^2 + x*y - y^3 - 2
syl_x = f.sylvester_matrix(g,x)
syl_y = f.sylvester_matrix(g,y)
# 分别是通过代入,消去 x 和 y
print(syl_x)
print(syl_y)
det = Matrix.determinant(syl_x)
# 化为单变元,直接求解
# 如果最开始是二元函数的话,消掉一个元就已经是单变元函数了,但还是需要执行这一步
r = det.univariate_polynomial()
rr = r.roots()
print(rr)
# [(1,1)]
代表 y y y 有两个相同的解,即 1
将 y = 1 y=1 y=1 代回等式 f f f ,再求解,得到 x x x 的值
ctfshow 2022 七夕杯 Luck7
题目
from Crypto.Util.number import bytes_to_long, getPrime
from secret import flag
l = len(flag)
assert l == 56
x = bytes_to_long(flag[:l//2])
y = bytes_to_long(flag[l//2:])
p = getPrime(1024)
e = 65537 #e = '0x10001' print(int(e,16))
x = pow(x, e, p)
y = pow(y, e, p)
a = (7 * x + x * y + 77 * y ** 7) % p
b = (x ** 7 + 777 * y) % p
'''
print(f'p = {p}')
print(f'a = {a}')
print(f'b = {b}')
''''''
p = 160676801612994301361202519503059426958636739446670462398261976532859847492256822690640058297338763725128097587993428329580105931247817467950370089691908132361316857330836120708767594061772979871315614755470773991633234068651435625372887767258609941208307491359777513843529144444836847722372845148836203335627
a = 30318995909014771647618268716833486449002423009996671727903532973647046764624121316716790986592523978549131384964872198795285872746623966910764159262479160147876027157581577141632378119375701270068263640642243000011932466519579133761464923463402462812787531220639360431295348786697861069940729757964584951972
b = 51036630170491152581994259808984114372634216659979376101433163181132141957563047348137651942358538069256102718534893846618166559129391336639526588292370462975735415885732360576961407017238385374280336346614960555565504032093702784952402038043052556719843691506943605133036720410419999467125928578673380637828
脚本
有官方WP,此方法也是通过官方WP才知道的。
使用 Sylvester 结式法直接解即可
# Sage
from sage.matrix.matrix2 import Matrix
from Crypto.Util.number import long_to_bytes
def resultant(f1, f2, var):
return Matrix.determinant(f1.sylvester_matrix(f2, var))
p = 160676801612994301361202519503059426958636739446670462398261976532859847492256822690640058297338763725128097587993428329580105931247817467950370089691908132361316857330836120708767594061772979871315614755470773991633234068651435625372887767258609941208307491359777513843529144444836847722372845148836203335627
a = 30318995909014771647618268716833486449002423009996671727903532973647046764624121316716790986592523978549131384964872198795285872746623966910764159262479160147876027157581577141632378119375701270068263640642243000011932466519579133761464923463402462812787531220639360431295348786697861069940729757964584951972
b = 51036630170491152581994259808984114372634216659979376101433163181132141957563047348137651942358538069256102718534893846618166559129391336639526588292370462975735415885732360576961407017238385374280336346614960555565504032093702784952402038043052556719843691506943605133036720410419999467125928578673380637828
e = 0x10001
P.<x, y> = PolynomialRing(Zmod(p))
f1 = 7 * x + x * y + 77 * y ** 7 - a
f2 = x ** 7 + 777 * y - b
hx = resultant(f1, f2, y)
rx = hx.univariate_polynomial().roots()
x, _ = zip(*rx)
y = [((b - i^7) * inverse_mod(777, p)) % p for i in x]
d = inverse_mod(e, p-1)
for i in range(len(x)):
m1 = pow(x[i], d, p)a
m2 = pow(y[i], d, p)
try:
print(bytes.fromhex(hex(m1)[2:]).decode(),end='')
print(bytes.fromhex(hex(m2)[2:]).decode())
except:
pass
2972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
