RSA已知e，d和n，分解N

转载已于 2023-09-18 21:05:14 修改 · 5.5k 阅读

文章标签：

#密码学 #抽象代数 #rsa

于 2020-07-02 14:30:44 首次发布

密码学同时被 2 个专栏收录

2 篇文章

订阅专栏

RSA

1 篇文章

订阅专栏

本文分享了一次密码学实验的经历，面对已知e、d、N的RSA密钥分解难题，作者尝试解决未果后，在DIManagementHome网站找到了有效的算法资源。

本人以后不再在优快云发表文章了，已有的文章也会改为博客园链接。

点击此处查看原文，以下为原文摘要。

这次的密码学实验有一个已知 $e$ ， $d$ 和 $N$ ，分解 $N$ 的问题，想了很久（其实没想多久，试了一下就放弃了），然后就到网上找资料。找到了一个很好用的网站，DI Management Home，都是关于密码学的，里面就有关于这个问题的算法[^1]。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

MeanCoder

关注关注

5
点赞
踩
18

收藏

觉得还不错? 一键收藏
7
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

关于RSA的一点小知识

叫好与叫座虽然不是对立面，但想在同一个作品中达到双重效果很难。

01-30

1084

RSA是一种公钥密码算法，它的名字由三位开发者，即Ron Rivest、Adi Shamir和Leonard Adleman的姓氏的首字母组成的。RSA被用于公钥密码和数字签名。1983年，RSA公司为RSA算法在美国取得了专利，但现在该专利已经过期。

【愚公系列】2022年04月 密码学攻击-RSA之暴力分解N

热门推荐

时光隧道

09-23

4万+

在CTF中分别得到了N和C，请问你能解密他吗我们的任务分为3个部分： 1．了解什么情况可分解N，可用什么工具来分解N。 2．完成题目分析N的大小，并对其进行分解学习了预备知识后我们开始今天的课程我们知道了Q,P是组成N的因素，Q和P越大，产生的N也越大，那反之，N很小的时候，组成的Q,P也很小，所有我们可以通过暴力分解的方法对其进行分解取得Q,P。以下是例子首先我们先打开pentestbox，通过ssh生成一个私钥来分析 openssl.exe genrsa -out rsa_private_ke

7 条评论您还未登录，请先登录后发表或查看评论

CTF_RSA_N不互素

fengerxi33的博客

03-08

1217

N不互素两个n里使用有相同的素数p或q 在CTF中，同样一个e（一般为65537）和m，有两个或多个n和c时，那么n之间可能是共享素数出题脚本随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in range(10): flag = "" for i in range(10): flag += a[random.randint(0

二、RSA加密

weixin_43234021的博客

10-16

4259

CTF中的RSA及攻击方法笔记1 数论基础1.1 模运算规则2 RSA相关题目2.1 已知 n，e，c 求 m2.2 已知 p，q，e 求 d2.3 已知dp，dq，c，p，q 求m2.4 仅已知c，c特别大【c = m^e mod n】2.5 已知n1，n2，c1，c2，n 求 m2.6 已知n1，n2，e，c2 求m2.7 已知e，d，N 求p，q 1 数论基础参考链接：https://www.freebuf.com/articles/web/257835.html 1.1 模运算规则模运算与基

rsa中已知 n,e,d 来分解n

weixin_44110537的博客

08-07

5102

在rsa中,如果已知n,e,d 的话可以试着用以下方法来分解n 由e,d 的定义我们可以知道: ed-1=k(p-1)(q-1) 这里我们任取一个小于n的数g 从而: ged-1 =gk(p-1)(q-1) 在mod n 下 ged-1 =1 故 pq=ged-1 -1=0 (mod n) 令 k=ed-1 则: pq=gk -1=(gk/2 -1)(gk/2 +1) = 0(mod n) 我们可以发现如果gk/2 -1 在 mod n下如果等于p或者q (即与n有非1最大公因子) 那么就可以分解n了.

[rsa]已知e，d，n，分解n

amber_o0k的博客

08-30

792

则GCD（m-1，n)，GCD（m+1，n)为n的非平凡因子，即为p,q。,i 遍历（1，s）,gcd(base,n)=1。，（m-1）*(m+1)=k*n,k为整数。由于-（p+q）+1相对p*q的很小。，若无此条件约束会求得平凡因子1，n。e*d-1=2^s*t,t为奇数。

从零开始学RSA：已知n,e,d求p,q和私钥文件修复

weixin_44626085的博客

04-09

4223

一看这个标题你就应该有个觉悟，n一定无法直接分解得到p和q。

从零开始学RSA：已知e,n,dp,c求m等4类问题解答

weixin_44626085的博客

04-10

1483

然后，通过输入D,服务端会帮你解给出的给出的密文，但只会返回这个数是奇数(odd)还是偶数(even)，通过G选项可以测试你输入的m是否正确，如果正确就会进入下1轮的。通过openssl查看，可以看到该公钥文件的e特别大，此时便存在rsa-wiener-attack攻击，通过此可以求出d。注意，该脚本需要rsa-wiener-attack工具包的目录中执行，还需提前将密文文件message一同放到该目录下。分解得到了3个因子，其实当时做这题时我也是一脸懵的，从没遇到过，试了n种方法，最后推到了这个方法。

每日10行代码170：rsa中的N分解问题，基于p和q之间的关系

天天卡丁的博客

07-15

2086

事实证明，真实的p值在平方根上下1000之内浮动，类似的，可以解决其他类似这种知道p和q某种关系的rsa问题。其中t和m是一个很小的量，t代表11x到下一个素数之间的差值，经过测试，通常差值在5000以内。从这里可以发现p和q有一定的关系。由于t和m很小，那么相关于。......

分解rsa的n代码，已知输入n，e，d，输出求p，q，给我完整python代码

04-23

这个问题需要找到一个有效的方法，从已知的e和d计算出φ(n)，进而分解n。首先，根据RSA的定义，ed - 1是φ(n)的倍数，也就是说存在一个整数k，使得ed - 1 = kφ(n)。不过直接计算φ(n)可能比较困难，但可以利用这...

RSA---n分解攻击(题目给出c为整数的情况)

xuqi7

05-23

6495

题目给出的是e，c，可分解的n(或者直接给出p，q)，其中**c为整数**，适合用该方法求解，该方法是纯粹的RSA原理，不需要涉及python库

RSA---n分解攻击

xuqi7

04-27

5117

RSA 已知public.key，flag.enc 通过这两个文件得到明文 n较小，可以分解的情况下，此方法可用

工具法: 分解 RSA 的 n

ashen的博客

10-05

1万+

网站：http://factordb.com/ yafu 工具这里的使用借鉴了:http://www.cnblogs.com/pcat/p/7508205.html 最简单的使用:yafu-x64.exe factor(23333333333333) 如果N 过长，把n 写进 data.txt 文件中 yafu-x64 “factor(@)” -batchfile data.txt...

RSA算法的素因子分解实现

BUG？不存在的！

09-07

247

其中一个重要的步骤是生成RSA公钥和私钥的过程，其中私钥是通过对两个大素数的乘积进行素因子分解来计算的。然而，需要注意的是，素因子分解是一项复杂而耗时的计算任务，特别是对于大素数来说。在RSA算法中，公钥由两个大素数的乘积N组成，而私钥是这两个素数的素因子之一。因此，我们的目标是通过已知的公钥N来找到两个大素数p和q，从而可以计算出私钥。请注意，素因子分解是一个非常耗时的计算过程，尤其是对于较大的素数。函数接收公钥N作为输入，并尝试进行素因子分解，返回找到的两个素数p和q。RSA算法的素因子分解实现。

从0开始RSA 逐步变成高手(三) 基于N的分解

DY19sec的博客

09-17

1823

可以看看题目n = p#关键点是n = p所以n是无法被分解的我们可以利用公式：ed mod phi_n = 1 也就是 e*d ≡ 1 (mod phi_n)来计算e的逆元EXP如下。

理解RSA算法（附带代码实现）

xixixi7777的博客

11-29

423

这个算法的主要创新在于，它利用了大数因数分解的困难性，使得在知道公钥和密文的情况下，计算出明文非常困难，除非知道私钥，这样，就可以实现安全的信息传输。cout<<"不是素数，请重新输入。cout<<"不是素数，请重新输入。cout<<"1-手动输入 2-系统随机生成"<<endl;cout<<"请输入两个素数（p,q）"<<endl;cout<<"请选取e"<<endl;cout<<"密文为："<<c<<endl;cout<<"明文为："<<m<<endl;cout<<"请输入明文"<<endl;

一周杂学(1) —— RSA分解n

weixin_57185053的博客

11-03

1785

忘川幽幽，此生长情。

RSA加密解密C++实现

ermeiyao11的博客

03-30

1万+

实现过程： 1 随意选择两个大的质数p和q，p不等于q，计算N=p*q。 2 根据欧拉函数，求得r = (p-1)(q-1) 3 选择一个小于 r 的整数 e，求得 e 关于模 r 的模反元素，命名为d。（模反元素存在，当且仅当e与r互质）将 p 和 q 的记录销毁。-大数模幂运算快速算法参考网址代码：#include <string> #include <iostream> #in

RSA 中根据 (N, e, d) 求 (p, q)

ayang1986的专栏

01-16

8031

湖湘杯有一道题是知道(N,e,d)求(p,q)，当时用了e⋅d−1=h⋅φ(n)这个公式，爆破h，考虑φ(n)与N相差不大，可以认为位数相同，求出φ(n)之后再根据N=p⋅q和φ(n)=(p−1)(q−1)联立一个方程。 N=pq φ(n)=(p−1)(q−1) ⇒N−φ(n)+1=p+q 可得到一个一元二次方程 X2−(N−φ(n)+1)X+N=(X−p)(X−q) 根据求根公式即可解出p和q。 # coding=utf-8 import ...

rsa已知n,e,c求明文

最新发布

06-24

### RSA解密方法：已知 n、e、c 时求明文在RSA加密算法中，已知公钥 (n, e) 和密文 c 的情况下，要解密得到明文 m，需要满足以下条件和步骤： #### 1. RSA的基本数学关系 RSA的核心数学关系为： \[ c \equiv m^e \mod n \] 其中： - $ c $ 是密文， - $ m $ 是明文， - $ e $ 是公钥指数， - $ n $ 是模数。为了求解明文 $ m $，需要找到私钥 $ d $，使得： \[ d \cdot e \equiv 1 \mod \phi(n) \] 其中 $ \phi(n) = (p-1)(q-1) $，而 $ n = p \cdot q $。因此，分解 $ n $ 成两个素数 $ p $ 和 $ q $ 是关键[^2]。 #### 2. 分解 n 得到 p 和 q 如果能够将 $ n $ 分解为两个大素数 $ p $ 和 $ q $，则可以计算出 $ \phi(n) $： \[ \phi(n) = (p-1)(q-1) \] #### 3. 计算私钥 d 利用扩展欧几里得算法，求解 $ d $ 满足： \[ d \cdot e \equiv 1 \mod \phi(n) \] #### 4. 解密密文 c 最后，使用私钥 $ d $ 对密文 $ c $ 进行解密： \[ m \equiv c^d \mod n \] --- ### 示例计算假设已知 $ n = 143 $，$ e = 7 $，$ c = 59 $。 #### 步骤 1：分解 n 尝试将 $ n = 143 $ 分解为两个素数的乘积。经过测试可得： \[ 143 = 11 \cdot 13 \] 因此，$ p = 11 $，$ q = 13 $[^3]。 #### 步骤 2：计算 $ \phi(n) $ 根据公式 $ \phi(n) = (p-1)(q-1) $： \[ \phi(143) = (11-1)(13-1) = 10 \cdot 12 = 120 \] #### 步骤 3：计算私钥 d 求解 $ d $ 满足： \[ d \cdot e \equiv 1 \mod \phi(n) \] 即： \[ d \cdot 7 \equiv 1 \mod 120 \] 通过扩展欧几里得算法，可以求得 $ d = 103 $[^2]。 #### 步骤 4：解密密文 c 使用私钥 $ d $ 对密文 $ c $ 进行解密： \[ m \equiv c^d \mod n \] 即： \[ m \equiv 59^{103} \mod 143 \] 通过快速幂算法计算： ```python def fast_pow(base, exp, mod): result = 1 base = base % mod while exp > 0: if exp % 2 == 1: result = (result * base) % mod base = (base * base) % mod exp //= 2 return result m = fast_pow(59, 103, 143) print(m) # 输出结果为 85 ``` 最终解密得到的明文为 $ m = 85 $[^3]。 --- ### 注意事项如果无法分解 $ n $ 或者无法有效计算 $ \phi(n) $，则无法直接求解私钥 $ d $。此时，可能需要借助其他攻击手段（如Coppersmith攻击）来推导部分信息[^1]。 ---