[NPUCTF2020]EzRSA e和phi_n不互素怎么找d

已于 2023-09-21 09:17:26 修改
阅读量319 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # RSA 文章标签: python 网络安全 密码学
于 2023-09-19 18:15:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44230906/article/details/133037046
博客围绕Python密码学展开,涉及RSA解密算法。通过gmpy2的lcm函数求最小公倍数,利用数的性质猜测[q - 1, p - 1]的值,进而求出φ(n)。因e与φ(n)不互质,对e进行变形求逆元d,最后通过一系列操作完成解密。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 题目
from gmpy2 import lcm , powmod , invert , gcd , mpz
from Crypto.Util.number import getPrime
from sympy import nextprime
from random import randint
p = getPrime(1024)
q = getPrime(1024)
n = p * q
gift = lcm(p - 1 , q - 1)
e = 54722
flag = b'NPUCTF{******************}'
m = int.from_bytes(flag , 'big')
c = powmod(m , e , n)
print('n: ' , n)
print('gift: ' , gift)
print('c: ' , c)

#n:  17083941230213489700426636484487738282426471494607098847295335339638177583685457921198569105417734668692072727759139358207667248703952436680183153327606147421932365889983347282046439156176685765143620637107347870401946946501620531665573668068349080410807996582297505889946205052879002028936125315312256470583622913646319779125559691270916064588684997382451412747432722966919513413709987353038375477178385125453567111965259721484997156799355617642131569095810304077131053588483057244340742751804935494087687363416921314041547093118565767609667033859583125275322077617576783247853718516166743858265291135353895239981121
#gift:  2135492653776686212553329560560967285303308936825887355911916917454772197960682240149821138177216833586509090969892419775958406087994054585022894165950768427741545736247918410255804894522085720642952579638418483800243368312702566458196708508543635051350999572787188236243275631609875253617015664414032058822919469443284453403064076232765024248435543326597418851751586308514540124571309152787559712950209357825576896132278045112177910266019741013995106579484868768251084453338417115483515132869594712162052362083414163954681306259137057581036657441897428432575924018950961141822554251369262248368899977337886190114104
#c:  3738960639194737957667684143565005503596276451617922474669745529299929395507971435311181578387223323429323286927370576955078618335757508161263585164126047545413028829873269342924092339298957635079736446851837414357757312525158356579607212496060244403765822636515347192211817658170822313646743520831977673861869637519843133863288550058359429455052676323196728280408508614527953057214779165450356577820378810467527006377296194102671360302059901897977339728292345132827184227155061326328585640019916328847372295754472832318258636054663091475801235050657401857262960415898483713074139212596685365780269667500271108538319
  • 分析

本题涉及到一个gmpy2的函数lcm(Least Common Multiple)求最小公倍数
φ(n)=(q−1)(p−1)\varphi(n)=(q-1)(p-1)φ(n)=(q1)(p1)
这里涉及一个概念:两个数的乘积等于这两个数的最大公约数与最小公倍数的积。即:
a∗b=(a, b)∗[a, b]a*b=(a,\ b)*[a,\ b]ab=(a, b)[a, b]
φ(n)=gift∗[q−1, p−1]\varphi(n)=gift*[q-1,\ p-1]φ(n)=gift[q1, p1]
已知n\textcolor{red}nn的值
n=p∗qn=p*qn=pq
len(φ(n))=len(n)len(\varphi(n))=len(n)len(φ(n))=len(n)
这里也可能是
len(bin(φ(n)))=len(bin(n))len(bin(\varphi(n)))=len(bin(n))len(bin(φ(n)))=len(bin(n))
总之这两个值的位数是一样的,那那就可以猜测出[q−1, p−1][q-1,\ p-1][q1, p1]的值
如果是len(φ(n))=len(n)len(\varphi(n))=len(n)len(φ(n))=len(n)可以求出[q−1, p−1]=8[q-1,\ p-1]=8[q1, p1]=8
如果是len(bin(φ(n)))=len(bin(n))len(bin(\varphi(n)))=len(bin(n))len(bin(φ(n)))=len(bin(n))可以求出[q−1, p−1]=[4, 9][q-1,\ p-1]=[4,\ 9][q1, p1]=[4, 9]
最后求出来是8
最后求出φ(n)\varphi(n)φ(n)的值
φ(n)=gift∗8\varphi(n)=gift*8φ(n)=gift8
这里通过逆元求ddd是求不出的
e=54722e=54722e=54722
eee不是素数,也不和φ(n)\varphi(n)φ(n)互素
e // [e, φ(n)]e\ //\ [e,\ \varphi(n)]e // [e, φ(n)]的值和φ(n) // [e, φ(n)]\varphi(n)\ //\ [e,\ \varphi(n)]φ(n) // [e, φ(n)]的质互素
ddd的值就是求逆元
d∗e=1 mod φ(n)d*e=1\bmod \varphi(n)de=1modφ(n)

  • 重点来了,这里我们要做的是将e进行一次变形,来得到逆元d\textcolor{red}{重点来了,这里我们要做的是将e进行一次变形,来得到逆元d}重点来了,这里我们要做的是将e进行一次变形,来得到逆元d
  • [e, φ(n)]=2\textcolor{red}{[e,\ \varphi(n)]=2}[e, φ(n)]=2
  • 变形的e我们这时把他叫作e_2,下面就是一系列的变形过程\textcolor{red}{变形的e我们这时把他叫作e\_2,下面就是一系列的变形过程}变形的e我们这时把他叫作e_2,下面就是一系列的变形过程

e_2=e // [e, φ(n)]e\_2=e\ //\ [e,\ \varphi(n)]e_2=e // [e, φ(n)]
e_2=e // 2e\_2=e\ //\ 2e_2=e // 2
因为
c=me mod nc=m^e\bmod nc=memodn
c=(m2)e/2 mod nc=(m^2)^{e/2}\bmod nc=(m2)e/2modn
e进行了变形,m也要变,指数的乘除{e进行了变形,m也要变,指数的乘除}e进行了变形,m也要变,指数的乘除
现在可以用逆元ddd求出m2m^2m2的值,
最后开根号就可以求出m的值,
这里要注意,[e, φ(n)][e,\ \varphi(n)][e, φ(n)]的值可能不是2
剩下的就是解密的基本操作了
代码如下:

>>> from gmpy2 import mpz, invert, powmod, iroot
>>> n = mpz(17083941230213489700426636484487738282426471494607098847295335339638177583685457921198569105417734668692072727759139358207667248703952436680183153327606147421932365889983347282046439156176685765143620637107347870401946946501620531665573668068349080410807996582297505889946205052879002028936125315312256470583622913646319779125559691270916064588684997382451412747432722966919513413709987353038375477178385125453567111965259721484997156799355617642131569095810304077131053588483057244340742751804935494087687363416921314041547093118565767609667033859583125275322077617576783247853718516166743858265291135353895239981121)
>>> gift = mpz(2135492653776686212553329560560967285303308936825887355911916917454772197960682240149821138177216833586509090969892419775958406087994054585022894165950768427741545736247918410255804894522085720642952579638418483800243368312702566458196708508543635051350999572787188236243275631609875253617015664414032058822919469443284453403064076232765024248435543326597418851751586308514540124571309152787559712950209357825576896132278045112177910266019741013995106579484868768251084453338417115483515132869594712162052362083414163954681306259137057581036657441897428432575924018950961141822554251369262248368899977337886190114104)
>>> phi_n = gift * 8
>>> e = mpz(54722)
>>> e_2 = e // 2
>>> e_2
mpz(27361)
>>> c = mpz(3738960639194737957667684143565005503596276451617922474669745529299929395507971435311181578387223323429323286927370576955078618335757508161263585164126047545413028829873269342924092339298957635079736446851837414357757312525158356579607212496060244403765822636515347192211817658170822313646743520831977673861869637519843133863288550058359429455052676323196728280408508614527953057214779165450356577820378810467527006377296194102671360302059901897977339728292345132827184227155061326328585640019916328847372295754472832318258636054663091475801235050657401857262960415898483713074139212596685365780269667500271108538319)
>>> d_2 = invert(e_2, phi_n)
>>> d_2
mpz(3623960926141555287499586936002588830496079841917313026194295760800408709320214823092595120348106137096187643430943490188125460015267714721383831801228978459738147422443015519352272682374528861550878044580645701539157928346749225751507239116578270629886685872725950227888153727090008690323645748696039492535572413478695359833744058610421607613148611079294300359070562314131322943755528912767514805442203168837293463002592529171033395324433632351223302828794321356947273613442834088890412435561603072808318967737183818601065838683683047315620557667562640144050484413871241100000176857555556621331996774524057292473889)
>>> m_2 = powmod(c, d_2, n)
>>> m_2
mpz(4457739276450750973807362088089319606097011997747961409022906575971021744219518190210017002304776543765491793897149413559709081776139101961)
>>> m = iroot(m_2, 2)
>>> m
(mpz(2111335898536931279306810443240820489664022670971730129629668753766781), True)
>>> flag = bytes.fromhex(hex(int(m[0]))[2:])
>>> flag
b'NPUCTF{diff1cult_rsa_1s_e@sy}'
  • e和φ(n)\varphi(n)φ(n)不互质

[e, φ(n)]≠1d∗e[e, φ(n)]=1 mod φ(n)c=(m[e, φ(n)])e/[e, [e, φ(n)] mod n \begin{align} [e,\ \varphi(n)]\ne 1\\ d * \cfrac{e}{[e,\ \varphi(n)]}=1\bmod \varphi(n)\\ c = (m^{[e,\ \varphi(n)]})^{e/{[e,\ [e,\ \varphi(n)]}}\bmod n \end{align} [e, φ(n)]=1d[e, φ(n)]e=1modφ(n)c=(m[e, φ(n)])e/[e, [e, φ(n)]modn

[NPUCTF2020]EzRSA
2er0!=O的博客
07-25 699
[NPUCTF2020]EzRSA 附件: from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fla
buuctf.crypto 1-100
最新发布
m0_73889365的博客
02-15 1331
buuctf crypto 刷题
[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 631
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
以moectf为例,解决rsa里ephi问题,ctf中rsa的ZeroDivisionError: invert() no inverse exists报错
ljc13626678577的博客
10-22 1767
解决ctf中rsa的ZeroDivisionError: invert() no inverse exists报错
asc量子计算机,[推荐][原创]CTF-RSA常见题型、思路及解法
weixin_33411250的博客
07-22 1349
RSA入门:写在前面:这篇文章是帮助对RSA熟悉的朋友且需要较为快速、深入的了解RSA而写的涉及非常晦涩难懂的数学知识算法(过最简单的原理说明还是有的)攻击方法也是最容易遇到的(RSA的进阶篇除外)并且所有的例题都是比较新的,甚至还有刚刚结束的比赛的题目基本原理:公钥与私钥的产生:(1)进行加密之前,首先出2个同的大质数pq(2)计算n=p*q(3)根据欧拉函数,求得φ(n)=φ(p...
RSA中ephi问题
刘十三t的博客
10-19 3561
有限域开方也能跑出来(需要三至四分钟吧)表示有理数域(可以使用其他域,如整数域。直接开根,当直接开根跑出来时,考虑。然后,我们定义了多项式里的变量。,并使用这个环创建了一个多项式。之前做过的题,到附件了。在上面的示例中,我们首先使用。在多项式时间内求解上面方程(接下来就是有限域开方的问题了。跑出,知道为什么。(很快,大概十几秒出结果)的一个函数,用于构建一个。开根跑出来,这时考虑。
[NPUCTF2020]EzRSA-BUUCTF
yuqie的博客
06-12 756
简单理解就是d算出来,检查了一下发现ephi,有最大公约数2,这样解出来的m就是m^2,于是将e//2,m取平方根就可解出来了。给了n,c,e,直接上RsaCtfTool试试,结果跑出来,果然没那么简单,那就分解一下n,没想到n可以分解!拿到p,q,试试p,q,e,c,结果还是出来。
密码[NPUCTF2020]EzRSA
qq_46540840的博客
05-01 2327
[NPUCTF2020]EzRSA前言解题方法一方法二 前言 比赛前刷几道密码题记录一下 提示:以下是本篇文章正文内容,下面案例可供参考 解题 源码如下 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime
funnyrsa1-ctf.show(e与phi)
yuqie的博客
06-14 780
这里解出来的也是m^14,与上面同的是,这里就一个,当然,这里依旧能直接开方求,原因上面一样,这里把14分成2*7,将m^2看成整体m,所以这里的e就成了7,求7在(q1-1)*(q2-1)下的逆元,也就是d,常规rsa即可解出flag。这里我一开始是直接将结果m1,m2开14次方,然后输出flag,但发现行通,我个人认为应该是开方完全的原因,换句话说,就是m1,m2开14次方是整数,python里对其取了整数部分,但转字符会出问题。这里可以利用中国剩余定理,结合c1,c2求出特解c。
e与phi的情况
yuqie的博客
08-30 1679
Crypto中RSA的e与phi情况下的解法。
[HDCTF 2023]Normal_Rsa(e,phi
2302_80322812的博客
06-04 303
但e,phi的最大公约数t很小,为2,故我们直接利用e//t,与phi计算得到d。首先我们利用网站对n进行分解得到P,Q,然后计算出phi后发现e,phi
[NPUCTF2020]ezlogin
SopRomeo的博客
06-04 1683
bp瞅瞅 发现他提交的与常见的同 搜索一波,发现是XPATH注入 XPATH注入讲解 把文章给出的poc放上去 'or count(/)=1 or ''=' 改成2 有明显的的布尔回显(注意在重新提交的时候记得刷新下页面) 说明他根下只有一个节点 接下来是盲注了,注意他那里有个token,过期时间比较快,记得用会话保持状态带上。 测试长度 payload 'or string-length(name(/*[1]))=4 or ''=' 长度为4 猜测根节点下的名称 'or substrin.
wp:buuctf [NPUCTF2020]EzReverse
m0_60894126的博客
07-28 601
buuctf [NPUCTF2020]EzReverse
[NPUCTF2020]ezinclude
snowlyzz的博客
09-07 696
文件包含的一道姿势题
2022鹏城杯CTF---Crypto
Luiino的博客
09-18 3672
第一部分,e与phi_n,gcd(e,phi_n) == 4,此时e对phi_n没有逆元,但gcd(e//t,phi_n) == 1。mod n,由上面的for循环可以知道M与初始m的关系:M = m * (p-q-1)!对n进行分解,得到p、q,小的是q。记print(pow(m,e,n))里的m为M,故有c2 =第三部分, 看到M = 2022 * m * 1011 * p,又n = p*q,且c =记两输出结果分别为c1、c2,由print(pow(2,e,n))可以得到:c1 =
NPUCTF 2020 Crypto writeup
Slightwind's Blog
04-24 3839
认清形势,建立信心 题目中给了 2e mod n2^e \ mod \ n2e mod n, 4e mod p4^e \ mod \ p4e mod p 8e mod p8^e \ mod \ p8e mod p。令它们分别为 ...
[MRCTF2020]Ezpop
SopRomeo的博客
04-16 2360
Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cra...
phi_n = np.pad(phi_n,((blk,blk),(blk,blk)))
05-24
这行代码的作用是对数组 phi_n 进行边界填充,使得数组在两个维度(行列)上各增加 blk 个元的填充。具体地,np.pad() 函数的第一个参数 phi_n 是要进行填充的数组,第二个参数 ((blk,blk),(blk,blk)) 是填充的方式,其中第一个元组表示在第一个维度(行)上填充 blk 个元,第二个元组表示在第二个维度(列)上填充 blk 个元。填充的元默认为 0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值