从零开始学RSA:已知p+q和(p+1)(q+1)和已知p-q和n

已于 2024-11-04 08:38:53 修改
阅读量1.2k 收藏 8
点赞数 5
分类专栏: Crypto 文章标签: 算法 网络安全 安全 系统安全 安全架构 python
于 2024-05-06 22:14:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/137885174
版权
文章讲述了在RSA加密中,如何利用给定的p+q、(p+1)(q+1)以及部分其他数值,通过数学计算求解phi、d和明文m的过程。涉及到了欧几里得逆和模指数运算在解密中的应用。
摘要由CSDN通过智能技术生成

 (17)已知p+q和(p+1)(q+1)

题目给出p+q,(p+1)(q+1),e和c。

首先需要求出phi,然后求解d,最后再求解m。

phi = (p-1)(q-1)

    = pq - (p+q) + 1

p+q的值题目已经给出了,接下来只需要求出pq的值即可求出phi的值。题目还给出了(p+1)(q+1),我们考虑下pq是否可以表示为(p+1)(q+1)的形式:

(p+1)(q+1) = pq + p + q + 1    

       = pq + (p+q) + 1

那么pq就可以表示为:

pq = (p+1)(q+1) - (p+q) -1

然后,求解phi的值。

phi = (p-1)(q-1)

    = pq - (p+q) + 1

    = n - (p+q) + 1

最后:

d = gmpy2.invert(e,phi)

m = pow(c,d,n)

完整的解题脚本如下:

#!/usr/bin/python

#coding:utf-8



import gmpy2

from Crypto.Util.number import long_to_bytes



#p+q通过p_add_q表示

p_add_q = 326429100407681651814978442415826213864753565034919374282004148849764531414964129530662174521568050093736341197400405816551402307458686750141836996345723514698979514133066389538988520826440776264241138888155090851605191090286605183976443204444854546781116840786281855819689375353337207819361769484061133586660



#(p+1)(q+1)为了方便用x表示

x = 26601616557971867831128918184476970808722471200861600741488181559976427915212193001812160532906370924454473038671991616741424706794741682437728013348910646937734672343325523407437596920797247711273378236903138971315823251358525257853681659038646150834388504990678755552658405772625078429891153401221091704935464031276762725209220275197422069811202440482709667987828399235771854454331605660739185369563297937712412914621262089799368586352843414856752338979163598254668715003106493342377951882955338211218066635494610164992383277776336257215001515405312235576928828485922034700150519853591032361405975195251746299510720



c = 24831377919906161196266552704492935537768087456188711284519872226691826290351027606307936414989585764319104737516021733938210516424254235349369088344349700976416957839221585194510124601438798302079231278339823353520868327987552051471031155633165987892206927171527428590536203275545528900845222038924459888879261986663709510987273937159905675940592632023428129764650249246182611973968609631056274792336171105433760493214971141615401120748113420469659787315651721605227003326305005720436114240966565179896456348773794946970503274768701856591123183247406604013805700201562056023223765073732621940021232679124486597812994



e = 65537




#n = pq = (p+1)(q+1) - (p+q) - 1 = x - p_add_q - 1

n = x - p_add_q - 1



#phi = (p-1)(q-1) = pq - (p+q) + 1 = n - (p+q) + 1 = n - p_add_q + 1

phi = n - p_add_q + 1



d = gmpy2.invert(e,phi)

m = pow(c,d,n)

print(long_to_bytes(m))

运行结果:

 

flag{e2df5b739abba07ae93403d3915228c9}


 

(18)已知p-q和n

这个题相比于(17)而言,不太容易直接想到转化的等式。

题目给出p-q,n,e和c。

常规的RSA解密步骤:

n = p*q

phi = (p-1)*(q-1)

d = gmpy2.invert(e,phi)

m = pow(c,d,n)

因为n不可分解,所以,我们无法直接得到p和q的值,也就无法得到phi的值。

通过对phi的如下分解可知,如果已知n和p+q便可求得phi的值。

phi = (p-1)*(q-1)

    = p*q - (p+q) + 1

    = n - (p+q) + 1

因为,给了p-q的值,所以,我们需要设法将p+q表示为p-q,进而求得phi的值。

这样,我们就可以求出p+q的值,进而可以求出phi的值。最后就可以求出明文m的值了。

解题脚本如下:

#!/usr/bin/python

#coding:utf-8

#变量p_add_q:p + q

#变量p_sub_q:p - q



import gmpy2

from Crypto.Util.number import long_to_bytes



n = 27552304606229034903366058815849954030287648695063385362955432137790872571412035824128918674719247737295565001575991597519270789776408208970323808016733976338433371328100880898942106515627607388226912870981180215883273805491209461671730377099185278711453949265641966582563910708529619185885928310168288810488784242368160743359666583499117949407921812317700250240067929572558785431071173411100434109661677786734923283679392823901052633992456780285091988542875991410528415886437666510014123352497264017734716859350294159440761760921548702546470902740121962033241003215821780125194400741190925169397917247376657863011603

e = 65537

c = 8643831704675414121804983915084443744489969712473300784256427784417167322852556975560503484179280700293119974607254037642425650493676448134024809335297135239994950178868535219541095694358323044214971760829173918774094415933808417722001811285178546917655837402000771685507972240389565704149610032767242977174132826100177368764169367458684152505611469248099487912367364804360878611296860803835816266114046682291529593099394952245852157119233687981777202751472502060481232341206366584532964027749320641690448228420342308891797513656897566100268729012788419021059054907653832828437666012596894150751431936476816983845357

p_sub_q = 3216514606297172806828066063738105740383963382396892688569683235383985567043193404185955880509592930874764682428425994713750665248099953457550673860782324431970917492727256948066013701406000049963109681898567026552657377599263519201715733179565306750754520746601394738797021362510415215113118083969304423858



p_add_q = gmpy2.iroot(p_sub_q**2 + 4*n, 2)  

#iroot()返回值为一个(x,y)元组。其中x为结果值,y为一个bool型变量,如果x为整数,y=True,否则y=False。




phi = n - p_add_q[0] + 1



d = gmpy2.invert(e,phi)



m = pow(c,d,n)



print(long_to_bytes(m))

运行结果:

 

flag{9c0532a253809f180747b6da334b438f}

 

 

网络安全我来了
关注
专栏目录
RSA加密算法已知公钥对,求d
mistakesglue的博客
11-25 1万+
RSA加密算法中求d1 非对称加密算法RSA密匙生成步骤2 已知n、e,如何求出d3 用一个例子说明辗转相除法 1 非对称加密算法RSA密匙生成步骤 选择两个质数 p , q 计算 n , n = p*q 计算欧拉函数值 φ(pq) = (p-1)*(p-1) 选择整数 e ,要求满足 1 < e < φ(pq) 计算 d ,要求满足 ed ≡ 1 mod φ(pq) 也就是 ed mod φ(pq) = 1 保存密匙对 从以上6个步骤中我们可以看到,一共出现了6个“字母”,分别是:p ,
从零开始RSA已知n,e,d求p,q和私钥文件修复
weixin_44626085的博客
04-09 3540
一看这个标题你就应该有个觉悟,n一定无法直接分解得到p和q。
已知p和q,生成私钥的rsa破解
04-25
RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。 RSA算法涉及三个参数,n、e、d。 其中,n是两个大质数p、q的积,n以二进制表示时所占用的位数,就是所谓的密钥长度。 已知p和q,生成私钥的rsa破解
RSA算法详解与练习
Atkx's Blog
10-04 6547
RSA算法 1.随机选择两个不相等的质数p和q。 2.计算p和q的乘积n(n=pq),n的长度就是密钥长度。 3.计算n的欧拉函数φ(n): φ(n) = (p-1)(q-1) 4.随机选择一个整数e,也就是公钥当中用来加密的那个数字 条件是1< e < φ(n),且e与φ(n) 互质。 5.计算e对于φ(n)的模反元素d。也就是密钥当中用来解密的那个数字 所谓"模反元素"就是指有一个整数d,可以使得ed被φ(n)除的余数为1,ed ≡1 (mod φ(n)) 。 6.将n和e封装成公钥,n和d
每日10行代码170:rsa中的N分解问题,基于p和q之间的关系
天天卡丁的博客
07-15 1771
事实证明,真实的p值在平方根上下1000之内浮动,类似的,可以解决其他类似这种知道p和q某种关系的rsa问题。其中t和m是一个很小的量,t代表11x到下一个素数之间的差值,经过测试,通常差值在5000以内。从这里可以发现p和q有一定的关系。由于t和m很小,那么相关于。......
RSA算法系列一
08-14 509
RSA算法系列一 1 RSA基础 1.1 密钥生成的步骤如下 1. 随意选择两个大的质数p和q,p不等于q,计算N=pq。 2. 计算p和q的乘积n(将n转换为二进制后,二进制的长度就是密钥的长度,实际应用中一般选择1024位、2048位); 3. 计算n的欧拉函数φ(n); 4. 随机选择一个整数e,其中φ(n)&gt;e&gt;1,且e与φ(n)互质(...
CTF-RSA已知高低位的攻击
villons的博客
09-03 4309
目前看到的大多数题目wp都是知道部分高位,鲜有说高位低位各知道一部分的,除了上面那篇攻略。而这道题目则比上面那篇的题目简单一些。反正我初碰壁,看到flag的时候也算扬眉吐气,遂来这里显摆一下自己的一点点所得。
从零开始RSA已知dp,dq求解m和CopperSmith定理攻击
最新发布
weixin_44626085的博客
04-10 1533
sage是基于python开发,所以python的语法几乎对它完全适用,但是sage自己还开发出了很多语法格式和数公式,习难度还是不低的,所以我把这些脚本都当做了工具,拿来直接用,自己写出来似乎能力还不够,因为不光要语法,关键是这里面的数算法知识。什么叫m的高位呢,很简单,比如题目给你m=0x65c46754a7776c8b88867e000000000000000000 前面的部分就是高位,后面的0就是低位,0只是占位的作用并不是真正m的值。要求出完整的m的值。
从零开始RSA:低加密指数攻击2
weixin_44626085的博客
04-04 1682
加密指数指的是e,因为e是可以随机选取的,当e很小时就会被直接破解掉。当e=3,而且明文也很小,导致明文的三次方仍然小于n,那么通过直接对密文3次开放,即可得到明文。C=me mod n如果e=3,且men,那么设k,有:c= me +kn爆破k,如果c−kn能开三次根式,那么可以直接得到明文。
从零开始RSA:低加密指数分解攻击
weixin_44626085的博客
04-02 1329
RSA是一种非对称加密算法,它由 公钥(n/e),私钥(n/d),明文M和密文C组成。我们做CTF题目时,一般题目中会给出公钥和密文让我们推出对应的私钥或者明文。RSA的相关公式都写在上面脑图中,在正式讲解RSA加密算法前我们先来普及一波数的基本知识。
python求e和最后的n_RSA 问题求助 (已知N,e 求m(flag))
weixin_28725949的博客
01-14 1422
#MOM! I use prime number it twice!from Crypto.Util.number import *p = getPrime(1024)q = pN = p * qe = 65537c = "xxxxxxxxxxxxxxx" # secret!c = bytes_to_long(c)c = pow(c, e, N)print("N = " + str(N))prin...
【Crypto】RSA
weixin_52553215的博客
11-01 6827
目录1.已知(p,q,e),求d2.已知(p,q,e,c),求m3.已知(p,q,dp,dq,c),求m4.已知(e,dp,n,c),求m5.已知(n,e1,e2,c1,c2),求m6.已知(e,n1,c1,n2,c2),求m7.已知(p+q,p-q,e,c),求m7.已知(e,n,c),求m8.已知(e,n,c),求m(e极小,如3,低加密指数攻击)9.已知(e,n,c),求m(e很大,低解密指数攻击)10.已知(c,n,p*(q-1),q*(p-1)),求m参考:CTF中关于RSA的常见题型_abtgu
RSA加解密算法
html01的专栏
02-02 1158
RSA加解密算法 算法简介 假设资料要由A机器传至B机器,那,由B机器用乱数决定一个key,我们称之为privatekey,这个key自始至终都只留在B机器里不送出来然后,由这个privatekey计算出另一个key,我们称之为publickey.这个publickey的特性是几乎不可能反演算出privatekey来然后将这个publickey透过网路丢给A机器.A机器将资料用这个public
关联爆破-RSA分解
weixin_52640415的博客
04-27 2370
RSA 爆破p,q
CTF中关于RSA的常见题型
热门推荐
abtgu的博客
09-11 1万+
CTF中关于RSA的常见题型 关RSA算法原理的描述请看https://blog.csdn.net/weixin_43790779/article/details/105622327 1.已知(p, q, e),求d。 示例:【CTF秀-crypto4】 p=447685307 q=2037 e=17,提交flag{d}即可。 解题思路: import gmpy2 p = 447685307 q = 2037 e = 17 phi = (p-1)*(q-1) d = gmpy2.invert(e,phi
RSA-p和q挨得很近(费马分解)
admin的博客
11-20 8533
一、基础 最简单的就是拿yafu直接分解,但是我们得知道那个算法的原理, 就是现在p,q是两个素数,而且他俩在素数序列里面就是一前一后的关系。所以我们要把他俩的乘积开根号得到的结果一定是在p,q之间的一个数字,(而且一定不是素数,因为p,q就是紧邻的两个素数)。 那我们找这个开方出来的数字的下一个素数,一定是q,因此我们再让n/q就可以得到两个素数。(这是第一种方法,必须得保证两个数为素数,而且挨得很近才行,我们还会介绍第二种方法,即使有一个不是素数也可以解决。...
RSA 算法
Alamo Fire
10-26 669
RSA 算法介绍 RSA 算法安全性是建立在乘法不可逆或者大数因子很难分解的基础上。 RSA 的推导和实现涉及到了’欧拉函数’和’费马定理’及’模反元素’的概念,有兴趣可以自行百度。 RSA 算法是’统治世界’的最重要算法之一,而且从目前来看,RSA 也是 ‘HTTPS 体系中最重要的算法’,没有之一。 数知识 互质关系 如果两个正整数,除了1之外,没有其它公因子,我们就称这两个数是’互质关系
BUUCTF [GUET-CTF2019]BabyRSA
sky_hhd的博客
07-04 442
最后得flag{cc7490e-78ab-11e9-b422-8ba97e5da1fd}通过题目得知,p+q,(p+1)(q+1),e,d,c,我们只需要求出N即可。
RSA算法个人理解整理
hz_warroom的专栏
11-10 319
rsa加密算法的理解
rsa算法已知n=2793178738709511429126579729911044441751735205348276931463015018726535495726108249975831474632698367036712812378242422538856745788208640706670735195762517,p-q=57684649402353527014234479338961992571416462151551812296301705975419997474236,求p和q
06-11
同样的,我们可以通过求解一元二次方程组的方式,解出p和q。 设p+q=x,p-q=y,则有: x^2 = (p+q)^2 = p^2 + 2pq + q^2 y^2 = (p-q)^2 = p^2 - 2pq + q^2 将两个式子相减,得到: x^2 - y^2 = 4pq 将n代入上式,得到: x^2 - y^2 = 4n 将已知的n和p-q代入上式,得到: x^2 - y^2 = 4n x - y = 2(p-q) 解得: p = (x + y) / 2 q = (x - y) / 2 将已知的数据代入上式,得到: p = 167346097326864056126307335798147831577 q = 166971263033615581912266843837066757399 因此,p和q的值分别为167346097326864056126307335798147831577和166971263033615581912266843837066757399。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值