[xctf crypto] simpleRSA

于 2022-11-12 10:38:35 发布
阅读量1.1k 收藏 2
点赞数 4
分类专栏: CTF crypto 文章标签: 加密算法 中国剩余定理 平方根 公因数 Coppersmith方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/127817186
版权
博客内容涉及加密算法的解析与破解,包括但不限于中国剩余定理、平方根求解、公因数计算以及Coppersmith方法。通过实例展示了如何运用这些数学技巧来分解大整数并恢复加密信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

周末的比赛还不开始,先拿小题练练

这是个套娃题,一共分4小块,

import gmpy2
from Crypto.Util.number import getPrime, isPrime, bytes_to_long
from secret import FLAG, E1, E2, P, Q1, Q2


def next_prime(num: int) -> int:
    num = num + 2 if num % 2 else num + 1
    while not isPrime(num):
        num += 2
    return num


p = getPrime(1024)
q = next_prime(getPrime(16) * p + 38219)
n = p * q
c = pow(E1, 65537, n)
print(f'n = {n}')
print(f'c = {c}')

第一块给了q = a*p + b 这里a是16位,很小一个数,b因为素数间隔问题范围更小,所以可以直接爆破,利用求根公式

\frac{-b\pm \sqrt{b^{2}-4ac}}{2a}

判断是否为平方根求解

for a in range(0x8000, 0x10000):
    if not is_prime(a):
        continue 
    print(a)
    for b in range(38219, 38219+1000):
        if is_square(b*b+4*a*n):
            p = (-b+iroot(b*b+4*a*n, 2)[0])//2//a
            if is_prime(p):
                print(p)
                exit()
q = n//p 
E1 = pow(c,invert(0x10001, (p-1)*(q-1)) ,n)

第二块给了一组n和c

assert E2.bit_length() == 69
ns = [getPrime(1024) * getPrime(1024) for _ in range(3)]
cs = [pow(E2, 89, n) for n in ns]
print(f'ns = {ns}')
print(f'cs = {cs}')

显然是用中国剩余定理

ns = [15863230586500684911356384742123404120213699052018048588650392009927565369685497256344682150189923131009586323640507773706997704860898682946308031020361302334248895233255911348365179153799197341744863134926804603973507415697810440916305092395180382239729550833607847524005391137474497849077097574452115379368463540087172800902210822143687014813631366360652583216269138116785489485772437870528892032119729929607857459621078790511144060710035933887337208301078892163837203412081114510143406013892393607932596921308889058909544584619676380766485493114814753878272881866907210235681877689493671668534251778397658670518117, 14144098469438619358682652828507744381697293556670717685553585719665002440476256008471235313826051740009083510860714991201047915737216102220242621674841600987122005914542061963618272275986835928673920375768272390912778741502655909281390948606467847118377641357547931472588836726339758576038273820470879637555458446243401248151675266602656677360819563744765522495640821496694918515669243614141704744848980746101569785439728585144841655665959389460512628800782742764147773150430552859331269667626942993392101897661719871375721143240270211821269260950380944670195863016621594387236339317938305273510719419578308449465183, 27563822879593503938377821960427219022565215631856333510782568496016547757945464794632272818101891677705256471714805217606503652132995136255720639088424576003650628211271025648183600635145895528466199068640094470078526413324708028578289949241288828542143203769199399500669311878391255837977932634772778594526940501234736059441483897017015324765266787399950699732518347518591167932031031320265136158304460199654008895095274754918153773566824931440342525688741289235153882699461549523425169846266597156773535163599640189457171272058311480951820887261040891344076039474315985825984444520336790670313179493074014037981261]
cs = [3833095607830862948079097323254872789586576953317671099752083261949616608759231291050566542764984974722790226120399722937104503590740358249900089784508490830379531632752169777949200718567033018577184658177019404903817920024468923715441355404672443007723525750768430895425376124679225715687382380114628103058312176343693900115638265002657622618744666247132114654135429040069316368839938881716554901593031901272992940200484460436193699175500376368456706998564064693820008778900344357745691652875500810447147088715289581351501876012044611990972521570253106671158207677490849249612002954497927762168699886110455354481924, 1502420121177211156091634258259634977709023894278792755694473756163084431123774101512866316989917922052023168401167212284219907272528117024670443698990238243030221117004372456475521502350404137469088570170885409265567084376069256924135270283335242133163303599239181417949980292944203204296598188175632723968779672994090788585343302473442389865459398142634104331743517384589200789331489394375604801951994831647339839112698394141328178967516636452592385248135340133712522135715943787590172334743893259621909532456281362868290556461907936774231166936915669816509378419892149164552548131776979706381641477878931403040942, 8992204063713908492214256291861339175525948946919629972908439132005643626148678347198381531633907182877152728077958345519083406637446972079387161726967295886447791613166577391233866583354793842121902234644830640050181130381996083089350911224037154798259291124104894554037604500881250119806371348673833105103600782286898276354573884788251542211434143476774391457587885772379990104835187104619922442613860682792470389490804228050671124495925536024571104944112397143299499508504917890140939438891891453283594000764399193028606955089853654071198909973555844004685149713774167524224100487937899126480545681565581673958854]
x = crt(cs,ns)
E2 = x.nth_root(89)

第三步看上去是用coppersmith求P但是未知有点多,不过仔细看后边,显然这步是多余的

qq = getPrime(1024)
nn = P * qq
qqq = qq >> 460 << 460
print(f'nn = {nn}')
print(f'qqq = {qqq}')

第4步这里给出有公因子的两个n显然直接求gcd比求一个位数过大的coppersmith要容易得多

assert len(FLAG) == 42
n1 = P * Q1
n2 = P * Q2
c1 = pow(bytes_to_long(FLAG), E1, n1)
c2 = pow(bytes_to_long(FLAG), E2, n2)
print(f'n1 = {n1}')
print(f'n2 = {n2}')
print(f'c1 = {c1}')
print(f'c2 = {c2}')

这个需要几步,因为后边E的问题处理起来麻烦点。

第1步是求因子,这个先用gcd求出P就完成了,然后发现E与Phi有公因子35

n1 = 21655617838358037895534605162358784326495251462447218485102155997156394132443891540203860915433559917314267455046844360743623050975083617915806922096697304603878134295964650430393375225792781804726292460923708890722827436552209016368047420993613497196059326374616217655625810171080545267058266278112647715784756433895809757917070401895613168910166812566545593405362953487807840539425383123369842741821260523005208479361484891762714749721683834754601596796707669718084343845276793153649005628590896279281956588607062999398889314240295073524688108299345609307659091936270255367762936542565961639163236594456862919813549
n2 = 24623016338698579967431781680200075706241014384066250660360949684385831604822817314457973559632215801205780786144608311361063622813017396858888436529116737754653067203843306015767091585697803364656624926853551997229897087731298797904208292585562517602132663331748784390752958757661484560335406769204491939879324079089140420467301773366050084810282369044622442784113688062220370531522036512803461607049619641336524486507388232280683726065679295742456158606213294533956580462863488082028563360006966912264908424680686577344549034033470952036766850596897062924137344079889301948258438680545785139118107899367307031396309
c1 = 2615722342860373905833491925692465899705229373785773622118746270300793647098821993550686581418882518204094299812033719020077509270290007615866572202192731169538843513634106977827187688709725198643481375562114294032637211892276591506759075653224150064709644522873824736707734614347484224826380423111005274801291329132431269949575630918992520949095837680436317128676927389692790957195674310219740918585437793016218702207192925330821165126647260859644876583452851011163136097317885847756944279214149072452930036614703451352331567857453770020626414948005358547089607480508274005888648569717750523094342973767148059329557
c2 = 6769301750070285366235237940904276375318319174100507184855293529277737253672792851212185236735819718282816927603167670154115730023644681563602020732801002035524276894497009910595468459369997765552682404281557968383413458466181053253824257764740656801662020120125474240770889092605770532420770257017137747744565202144183642972714927894809373657977142884508230107940618969817885214454558667008383628769508472963039551067432579488899853537410634175220583489733111861415444811663313479382343954977022383996370428051605169520337142916079300674356082855978456798812661535740008277913769809112114364617214398154457094899399
E1 = 377312346502536339265
E2 = 561236991551738188085

from gmpy2 import * 
from Crypto.Util.number import long_to_bytes
from functools import reduce

P = gcd(n1,n2)
Q1 = n1//P 
Q2 = n2//P 
phi1 = (P-1)*(Q1-1)
phi2 = (P-1)*(Q2-1)
#E与PHI不互素,因子为35
vv1 = gcd(E1, phi1)
vv2 = gcd(E2, phi2)
#vv1 == vv2 == 35

然后处理这个35,先将E除掉35后求出m^35的值,然后分别对P,Q1,Q2取模得到3个m,然后用中国剩余定理求出m4

#对E除35后求m1,m2
m1 = pow(c1, invert(E1//vv1, phi1), n1)
m2 = pow(c2, invert(E2//vv1, phi2), n2)
#分别模3个因子得到m1,m2,m3
m3 = m1%P 
m2 = m2%Q2 
m1 = m1%Q1

#用中国剩余定理求m4
def chinese_remainder(n, a):
    sum = 0
    prod = reduce(lambda a, b: a * b, n)
    for n_i, a_i in zip(n, a):
        p = prod // n_i
        sum += a_i * invert(p, n_i) * p
    return int(sum % prod)

m4 = chinese_remainder([Q1,Q2,P],[m1,m2,m3])

这里再利用另外两个因子Q1,Q2组成n3,以7为幂,求m5,这样求出的结果就是5次幂的值,再开5次幂就结束了,

#由另外两个因子组成新n,并以7为E求出m5(35先求7再开根号求5)
n3 = Q1*Q2
phi3 = (Q1-1)*(Q2-1)
m5 = pow(m4, invert(7, phi3), n3)
m6 = iroot(m5,5)[0]
print(long_to_bytes(m6))

评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值