每日10行代码170:rsa中的N分解问题,基于p和q之间的关系

已于 2022-09-15 23:24:39 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: ctf 文章标签: rsa
于 2022-07-15 23:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44981444/article/details/125813909
版权

前几天搞ctf,遇到一道常规的rsa题目 :

import sympy
from Crypto.Util.number import *

flag = b"DASCTF{xxxxx}"

x=getPrime(1024)
p=sympy.nextprime(11*x)
q=sympy.prevprime(23*x)
n=p*q

m=bytes_to_long(flag)
e=0xe18e
print(e)
c=pow(m,e,n)

print("n=",n)
print("c=",c)

#n= 7099293997597057840121358666833837753498838275854020154482887743106000287292796543920866875062689995360025217485874831332257233130287943206444475190268445255670322843664471682348256156185175655765790452094332875022809494407318056044647005041845654843080303742522260061500210481600297956451426162674923926908156645992521694195572818623774054219194331159529364179241757932761459930262573830738911713799216140111007655256112125121081747854267340976432923900792983659847629430766080521995039114172477341269935779097804051557556063477903826454634581880779164839924381664510909546228996769947966559112620828323435423467787739
#c= 3078278882403267771557339568388950410639470501469121937324913253244013904986826470346335611174822666010160930623609201021876295254455820936788078951586549877513565571795083091146694885452347963070384765951180432581796819616400782006993357703440486783144989291310259039645268226860339316323226395210408787702054635889745582356633806087632054473023928020827581196829103923740718937874920893533975613493768492615364149440810394033176498488161704634307874672531940341631965894022899665283833912182388412943227149695408964841000543086601596551360786212024360389301448828142199899595307482885969343432562999657817232668321784

这道题的钥匙关键是

x=getPrime(1024)
p=sympy.nextprime(11*x)
q=sympy.prevprime(23*x)
n=p*q

从这里可以发现p和q有一定的关系

p=11x+t
q=23x-m

其中t和m是一个很小的量,t代表11x到下一个素数之间的差值,经过测试,通常差值在5000以内。
由于t和m很小,那么相当于
p = 11 × x p=11\times x p=11×x
q = 23 × x q=23\times x q=23×x

q = 11 23 × p q=\frac{11}{23}\times p q=2311×p
n = p × q = p × 11 23 × p = 11 23 p 2 n=p \times q=p \times \frac{11}{23}\times p= \frac{11}{23} p^2 n=p×q=p×2311×p=2311p2
p = 23 11 × n p=\sqrt{\frac{23}{11}\times n} p=1123×n

有这个关系那么就证明,p在 23 11 × n \sqrt{\frac{23}{11}\times n} 1123×n 左右浮动,于是可以写出以下代码:

import sympy
from Crypto.Util.number import *
import gmpy2
n= 7099293997597057840121358666833837753498838275854020154482887743106000287292796543920866875062689995360025217485874831332257233130287943206444475190268445255670322843664471682348256156185175655765790452094332875022809494407318056044647005041845654843080303742522260061500210481600297956451426162674923926908156645992521694195572818623774054219194331159529364179241757932761459930262573830738911713799216140111007655256112125121081747854267340976432923900792983659847629430766080521995039114172477341269935779097804051557556063477903826454634581880779164839924381664510909546228996769947966559112620828323435423467787739

pp = n*11//23
p= gmpy2.iroot(pp,2)
floating_rng=1000
for i in range(p[0]-floating_rng, p[0]+floating_rng):
    q = divmod(n,i)
    if q[1]==0:
        print("p等于:",i,"\nq等于:",q[0])

事实证明,真实的p值在平方根上下1000之内浮动,类似的,可以解决其他类似这种知道p和q某种关系的rsa问题。

求出p,q后,解题过程 :

import libnum
import gmpy2
from Crypto.Util.number import * 

p=1842637924441450658998064063974279963201497691391749603710761739729251804071657434195607292881514041836386466090902459885504202102210726839134119973707983797822067691969510912653597933390722892316816352503877596316419304279111171622418905923075098131685080061845058416898784321859891210483357866757221330352431 
q=3852788387468487741541406679218949013966767900182749171395229092161162863058920089681724339661347542021535338190068779760599695304622428845462250854116693395446141537754431908275704769816966047571525100689925883207058545310868813392330439657338841548068803765676031235333821763888863440101566448674190054370069
c=3078278882403267771557339568388950410639470501469121937324913253244013904986826470346335611174822666010160930623609201021876295254455820936788078951586549877513565571795083091146694885452347963070384765951180432581796819616400782006993357703440486783144989291310259039645268226860339316323226395210408787702054635889745582356633806087632054473023928020827581196829103923740718937874920893533975613493768492615364149440810394033176498488161704634307874672531940341631965894022899665283833912182388412943227149695408964841000543086601596551360786212024360389301448828142199899595307482885969343432562999657817232668321784

#phi=(p-1)*(q-1)
e=0xe18e
#d = libnum.invmod(e,phi) 

# 当e约去公约数后与phi互素
def decrypt(p, q, e, c):
    n = p * q
    phi = (p - 1) * (q - 1)
    t = gmpy2.gcd(e, phi)
    d = gmpy2.invert(e // t, phi)
    m = pow(c, d, n)
    print(m)
    msg = gmpy2.iroot(m, t)
    print(msg)
    if msg[1]:
        print(long_to_bytes(msg[0]))

decrypt(p,q,e,c)

输出结果:

788405031745507770194690962903400949406743404033876736594470380622736446808280639069799390802178272301446577152339579723271862025
(mpz(28078551097688565920863135908056268375491504812717619527898702205), True)
b'DASCTF{RSA_1s_Re@lly_e4sy!}'

这道题 还藏了一个小陷阱,就是题目中的e和phi不互素,所以不能直接求逆元,所以需要去除公约数(假如为g)后求逆元,但是这样做了后,最后结果需要开g次方才能得到 真实的结果 (至于为什么是开g次方,需要数学推导)。

天天卡丁
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
已知p和q,生成私钥的rsa破解
04-25
RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其一个加密,则需要用另一个才能解密。 RSA的算法涉及三个参数,n、e、d。 其,n是两个大质数p、q的积,n以二进制表示时所占用的位数,就是所谓的密钥长度。 已知p和q,生成私钥的rsa破解
RSA---n分解攻击
xuqi7
04-27 4874
RSA 已知public.key,flag.enc 通过这两个文件得到明文 n较小,可以分解的情况下,此方法可用
【鹤城杯 2021】 CRYPTO刷题
最新发布
orchid_sea的博客
04-10 529
附件easy_crypto.txt,内容是社会核心主义观使用工具解密。
一周杂学(1) —— RSA分解n
weixin_57185053的博客
11-03 1312
忘川幽幽,此生长情。
CTF-RSA分解模数N
rhyme1213的博客
02-14 1434
RSA利用yafu分解模数N,原理模数N有多个素因子。
RSA---n分解攻击(题目给出c为整数的情况)
xuqi7
05-23 6081
题目给出的是e,c,可分解的n(或者直接给出p,q),其**c为整数**,适合用该方法解,该方法是纯粹的RSA原理,不需要涉及python
RSA.rar_Caín_rsa_rsa 数字签名_大数分解_密码学
09-20
RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。RSA的...
RSA介绍:了解基于设计模式的开发
03-04
模式不包含算法,相反地,它关注于类之间关系。通过使用设计模式,您能够利用已证实的导致更佳设计和更快实现的解决方案。设计模式还可以促进长期的代码维护。设计模式的基本目标是:使用接口使用合成而不用继承...
基于lazarus的RSA加密解密代码
03-29
**基于Lazarus的RSA加密解密代码**是软件开发的一个重要话题,特别是在信息安全领域。RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,广泛用于数据加密、数字签名以及密钥交换。Lazarus是Free Pascal ...
基于Python实现RSA 加密和解密算法【100011713】
04-07
RSA加密和解密算法是公钥密码学的一个重要组成部分,由Ron Rivest、Adi Shamir和Leonard Adleman于1977年提出,因此得名RSA。该算法基于大整数因子分解的困难性,即找到两个大素数的乘积很容易,但将乘积分解回它...
工具法: 分解 RSA 的 n
热门推荐
ashen的博客
10-05 1万+
网站:http://factordb.com/ yafu 工具 这里的使用 借鉴了:http://www.cnblogs.com/pcat/p/7508205.html 最简单的使用:yafu-x64.exe factor(23333333333333) 如果N 过长 ,把n 写进 data.txt 文件 yafu-x64 “factor(@)” -batchfile data.txt...
rsa已知 n,e,d 来分解n
weixin_44110537的博客
08-07 4618
rsa,如果已知n,e,d 的话可以试着用以下方法来分解n 由e,d 的定义我们可以知道: ed-1=k(p-1)(q-1) 这里我们任取一个小于n的数g 从而: ged-1 =gk(p-1)(q-1) 在mod n 下 ged-1 =1 故 pq=ged-1 -1=0 (mod n) 令 k=ed-1 则: pq=gk -1=(gk/2 -1)(gk/2 +1) = 0(mod n) 我们可以发现如果gk/2 -1 在 mod n下 如果等于p或者q (即与n有非1最大公因子) 那么就可以分解n了.
RSA-素数n暴力破解得到p,q
admin的博客
10-17 1676
一、在线网站 factordb.com 但是有时候是错的,比如:看红框里面的内容,一看就是错的结果。 二、工具 yafu 安装及使用 | SkYe231 Blog (mrskye.cn)
CTF-RSA_基于N分解RSA题目
fengerxi33的博客
02-18 5690
CTF-RSA_基于N分解RSA题目 对N进分解(只要知道p和q,就能解出任何rsa) N在有一般情况下不可分解的,如果p和q太接近,或相差过大,或pq很小等情况 1.在线查询分解网站 http://www.factordb.com/index.php 2.使用yafu工具分解 下载地址:https://sourceforge.net/projects/yafu/ #以分解49为例 yafu-x64.exe factor(49) #导入文件进分解,主要注意文本结尾要换!!!不然要报错 ya
[rsa]已知e,d,n,分解n
amber_o0k的博客
08-30 401
则GCD(m-1,n),GCD(m+1,n)为n的非平凡因子,即为p,q。,i 遍历(1,s),gcd(base,n)=1。,(m-1)*(m+1)=k*n,k为整数。由于-(p+q)+1相对p*q的很小。,若无此条件约束会得平凡因子1,n。e*d-1=2^s*t,t为奇数。
RSA原理及Python实现
0verWatch的博客
01-12 7377
简介 RSA是第一个安全,实用的公钥加密算法,已成为国家标准,是目前应用广泛的公钥加密体制,RSA的基础是数论的欧拉定理,它的安全性依赖于大整数因子分解的困难性,因为加解密次序可换,可用于加解密,可用于设计数字签名体制。 算法流程 选取两个安全的大素数p和q(其长度要足够长至少要是1024位) 计算乘积n = p * q, 计算phi(n) = (p-1)*(q-1),其phi(n)为n的欧拉...
数学公式显示 |关于 RSA算法原理(二)的一些评论 知道 n e d即公钥私钥 能否知道 pq 即两个大质数...
mauersu
10-17 2441
源:www.mathjax.org/demos/mathml-samples/ http://www.mathjax.org/demos/tex-samples/ 评: RSA加密解密算法已知公钥和密匙n,e,d,是否能将合数n=p*q分解? 先温故一下RSA算法: 1、两个大质数p,q。 2、模数n=p*q。 3、欧拉函数f=(p-1)(q-1)。 4、随机数e,...
2021-07-25
m0_57291352的博客
07-25 702
[XNUCA2018]Warmup 题目 Buggy_Server.py from Crypto.Util.number import bytes_to_long, getPrime from random import randint from gmpy2 import powmod import sys p = getPrime(1024) q = getPrime(1024) N = p*q Phi = (p-1)*(q-1) with open("flag", 'r') as fr: flag
TSG CTF 2023
m0_62584492的博客
12-06 149
浅谈:比赛很早已经结束了,简单回顾一下!
rsa算法,已知n=2793178738709511429126579729911044441751735205348276931463015018726535495726108249975831474632698367036712812378242422538856745788208640706670735195762517,p-q=57684649402353527014234479338961992571416462151551812296301705975419997474236,p和q和d
06-11
根据RSA算法的原理,n应当是两个质数p和q的积,且p和q应当保密。由于p-q已知,并且p和q都是质数,可以通过解一元二次方程组的方式,解出p和q。 设p+q=x,p-q=y,则有: x^2 = (p+q)^2 = p^2 + 2pq + q^2 y^2 = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值