算法(施工中)

二，逆元

如果两个正整数a和n互质，那么⼀定可以找到整数b，使得 ab-1 被n整 除，或者说ab被n除的余数是1。这时，b就叫做a的"模反元素"。(即逆元)

ed ≡ 1 (mod phi_n)

d = libnum.invmod(e,phi_n)

拓展欧几里得算法也可以求逆元

 在共模攻击里用到了，

扩展欧几里得算法：对于不全为0的a、b, 有：ax + by = gcd(a, b)，其中gcd(a, b) 表示 a，b的最大公约数  (并没有说a,b一定互素)

e1*s1+e2*s2 = gcd(a,b)  

s,s1,s2  = gmpy2.gcdext(e1, e2) 

　s 为 e1，e2 的最大公约数， s1为 e1的逆元，s2为e2的逆元

 

 

题：

import gmpy2
from Crypto.Util.number import *

a = 8211326873271009698612293192353462489214913095169032926210286617109081546479527487840813132889381002585576987009336155969072508100960955832737405131829442183564521298123120577547493155350308428615222041395215704536028570767025031055456350495107095229047303263795124392501448187075174165645272259851846904336094366522515799480936142735635258700610607563671354211456559428975444588590694112562190988915001721881505904963332537249786107670873247412438682
n = 24482146465492008075985247474612414320648047425785643838292024343856484727961531014143038475016832753633643464040872815615028679515938203288641456487330618969964445990607887042678786725649115551121279019558561466028015891949399125083811735238746137986294864917479675168130071009961552443914582290960081092498541343026165888900247802180370535720495152921978143267961988522304615862013752399728187062523671938698800778472385717512452760615330027345844283
b = 472760866434091
for i in range(n):
    if (a * i % n == b):
        flag = b'flag{' + long_to_bytes(i) + b'}'
        break

 

 

exp：

import libnum

a = 8211326873271009698612293192353462489214913095169032926210286617109081546479527487840813132889381002585576987009336155969072508100960955832737405131829442183564521298123120577547493155350308428615222041395215704536028570767025031055456350495107095229047303263795124392501448187075174165645272259851846904336094366522515799480936142735635258700610607563671354211456559428975444588590694112562190988915001721881505904963332537249786107670873247412438682
n = 24482146465492008075985247474612414320648047425785643838292024343856484727961531014143038475016832753633643464040872815615028679515938203288641456487330618969964445990607887042678786725649115551121279019558561466028015891949399125083811735238746137986294864917479675168130071009961552443914582290960081092498541343026165888900247802180370535720495152921978143267961988522304615862013752399728187062523671938698800778472385717512452760615330027345844283
b = 472760866434091

a1 = libnum.invmod(a,n)
i = a1 * b % n
print(libnum.n2s(i))

 

 

 

 

一，解方程

1，sympy 中的 solve 解法

import sympy   # 引入解方程的专业模块sympy

p,q = sympy.symbols("p q ")   # 申明未知数"p"和"q"

n = 2230791374046346835775433548641067593691369485828070649075162141394476183565187654365131822111419512477883295758461313983481545182887415447403634720326639070667688614534290859200753589300443797
hint = 392490868359411675557103683163021977774935163924606169241731307258226973701652855448542714274348304997416149742779376023311152228735117186027560227613656229190807480010615064372521942836446425717660375242197759811804760170129768647414717571386950790115746414735411766002368288743086845078803312201707960465419405926186622999423245762570917629351110970429987377475979058821154568001902541710817731089463915930932142007312230897818177067675996751110894377356758932
flag = sympy.solve([p*q-n,p**3-q**5-hint],[p,q])   # 写入需要解的方程组
print(flag)
print(flag[0][0])
print(flag[0][1])

# n = p*q
# hint = p**3-q**5
# n = 2230791374046346835775433548641067593691369485828070649075162141394476183565187654365131822111419512477883295758461313983481545182887415447403634720326639070667688614534290859200753589300443797
# hint = 392490868359411675557103683163021977774935163924606169241731307258226973701652855448542714274348304997416149742779376023311152228735117186027560227613656229190807480010615064372521942836446425717660375242197759811804760170129768647414717571386950790115746414735411766002368288743086845078803312201707960465419405926186622999423245762570917629351110970429987377475979058821154568001902541710817731089463915930932142007312230897818177067675996751110894377356758932

即可得到 p，q ，后续正常解密即可

如此题：

[BJDCTF 2020]EasyRSA

题目源码：

from Crypto.Util.number import getPrime,bytes_to_long
from sympy import Derivative
from fractions import Fraction
from secret import flag

p=getPrime(1024)
q=getPrime(1024)
e=65537
n=p*q
z=Fraction(1,Derivative(arctan(p),p))-Fraction(1,Derivative(arth(q),q))
m=bytes_to_long(flag)
c=pow(m,e,n)
print(c,z,n)
'''
output:
7922547866857761459807491502654216283012776177789511549350672958101810281348402284098310147796549430689253803510994877420135537268549410652654479620858691324110367182025648788407041599943091386227543182157746202947099572389676084392706406084307657000104665696654409155006313203957292885743791715198781974205578654792123191584957665293208390453748369182333152809882312453359706147808198922916762773721726681588977103877454119043744889164529383188077499194932909643918696646876907327364751380953182517883134591810800848971719184808713694342985458103006676013451912221080252735948993692674899399826084848622145815461035
32115748677623209667471622872185275070257924766015020072805267359839059393284316595882933372289732127274076434587519333300142473010344694803885168557548801202495933226215437763329280242113556524498457559562872900811602056944423967403777623306961880757613246328729616643032628964072931272085866928045973799374711846825157781056965164178505232524245809179235607571567174228822561697888645968559343608375331988097157145264357626738141646556353500994924115875748198318036296898604097000938272195903056733565880150540275369239637793975923329598716003350308259321436752579291000355560431542229699759955141152914708362494482
15310745161336895413406690009324766200789179248896951942047235448901612351128459309145825547569298479821101249094161867207686537607047447968708758990950136380924747359052570549594098569970632854351825950729752563502284849263730127586382522703959893392329333760927637353052250274195821469023401443841395096410231843592101426591882573405934188675124326997277775238287928403743324297705151732524641213516306585297722190780088180705070359469719869343939106529204798285957516860774384001892777525916167743272419958572055332232056095979448155082465977781482598371994798871917514767508394730447974770329967681767625495394441

'''

其实这是道纯数学题，解方程即可，只是 关键点在z，z中许多函数不认得

 

 

 

通过搜索引擎即可得到 z 所表示的 等式，即 z = p^2 +q^2  ,  又 n=p*q，  解方程即得 p，q

z=Fraction(1,Derivative(arctan(p),p))-Fraction(1,Derivative(arth(q),q))

 

exp： 

 

import libnum
import sympy   # 引入解方程的专业模块sympy
import gmpy2

p,q = sympy.symbols("p q ")   # 申明未知数"x"和"y"

c = 7922547866857761459807491502654216283012776177789511549350672958101810281348402284098310147796549430689253803510994877420135537268549410652654479620858691324110367182025648788407041599943091386227543182157746202947099572389676084392706406084307657000104665696654409155006313203957292885743791715198781974205578654792123191584957665293208390453748369182333152809882312453359706147808198922916762773721726681588977103877454119043744889164529383188077499194932909643918696646876907327364751380953182517883134591810800848971719184808713694342985458103006676013451912221080252735948993692674899399826084848622145815461035
z = 32115748677623209667471622872185275070257924766015020072805267359839059393284316595882933372289732127274076434587519333300142473010344694803885168557548801202495933226215437763329280242113556524498457559562872900811602056944423967403777623306961880757613246328729616643032628964072931272085866928045973799374711846825157781056965164178505232524245809179235607571567174228822561697888645968559343608375331988097157145264357626738141646556353500994924115875748198318036296898604097000938272195903056733565880150540275369239637793975923329598716003350308259321436752579291000355560431542229699759955141152914708362494482
n = 15310745161336895413406690009324766200789179248896951942047235448901612351128459309145825547569298479821101249094161867207686537607047447968708758990950136380924747359052570549594098569970632854351825950729752563502284849263730127586382522703959893392329333760927637353052250274195821469023401443841395096410231843592101426591882573405934188675124326997277775238287928403743324297705151732524641213516306585297722190780088180705070359469719869343939106529204798285957516860774384001892777525916167743272419958572055332232056095979448155082465977781482598371994798871917514767508394730447974770329967681767625495394441
e = 65537

flag = sympy.solve([p*q-n,p**2+q**2-z],[p,q])   # 写入需要解的方程组
print(flag)
print(flag[2][0])
print(flag[2][1])
print(flag[3][0])
print(flag[3][1])
#然后手动输入p，q
p = 144564833334456076455156647979862690498796694770100520405218930055633597500009574663803955456004439398699669751249623406199542605271188909145969364476344963078599240058180033000440459281558347909876143313940657252737586803051935392596519226965519859474501391969755712097119163926672753588797180811711004203301
q = 105909195259921349656664570904199242969110902804477734660927330311460997899731622163728968380757294196277263615386525795293086103142131020215128282050307177125962302515483190468569376643751587606016315185736245896434947691528567696271911398179288329609207435393579332931583829355558784305002360873458907029141
phi = (p-1)*(q-1)
d = libnum.invmod(e,phi)
print(libnum.n2s(pow(c,d,n)))

#b'BJD{Advanced_mathematics_is_too_hard!!!}'

 

 

 

2，利用 z3 库 解方程

• 安装库

pip install z3_solver

　　注意不要安装z3，两个模块不一样，z3 用不了

• 声明

x  = Int ( 'x' )     #声明整数
x  = Real( 'x' )    #声明实数
x  = Bool ( 'x' )    #声明布尔类型
a, b, c  = Reals( 'a b c' )     #批量声明

• 求解

s  = Solver()
s.add(p * q = = n)
s.add(p * * 2 + q * * 2 = = z)

• 输出

check  = s.check()
print (check)
model  = s.model()
print (model)

　　

一如上题：

import libnum
from z3 import *

c = 7922547866857761459807491502654216283012776177789511549350672958101810281348402284098310147796549430689253803510994877420135537268549410652654479620858691324110367182025648788407041599943091386227543182157746202947099572389676084392706406084307657000104665696654409155006313203957292885743791715198781974205578654792123191584957665293208390453748369182333152809882312453359706147808198922916762773721726681588977103877454119043744889164529383188077499194932909643918696646876907327364751380953182517883134591810800848971719184808713694342985458103006676013451912221080252735948993692674899399826084848622145815461035
z = 32115748677623209667471622872185275070257924766015020072805267359839059393284316595882933372289732127274076434587519333300142473010344694803885168557548801202495933226215437763329280242113556524498457559562872900811602056944423967403777623306961880757613246328729616643032628964072931272085866928045973799374711846825157781056965164178505232524245809179235607571567174228822561697888645968559343608375331988097157145264357626738141646556353500994924115875748198318036296898604097000938272195903056733565880150540275369239637793975923329598716003350308259321436752579291000355560431542229699759955141152914708362494482
n = 15310745161336895413406690009324766200789179248896951942047235448901612351128459309145825547569298479821101249094161867207686537607047447968708758990950136380924747359052570549594098569970632854351825950729752563502284849263730127586382522703959893392329333760927637353052250274195821469023401443841395096410231843592101426591882573405934188675124326997277775238287928403743324297705151732524641213516306585297722190780088180705070359469719869343939106529204798285957516860774384001892777525916167743272419958572055332232056095979448155082465977781482598371994798871917514767508394730447974770329967681767625495394441
e = 65537

p = Int('p')
q = Int('q')
s = Solver()
s.add(p*q==n)
s.add(p**2+q**2==z)
check = s.check()
print(check)
model = s.model()
print(model)

#然后手动输入p，q
p = 144564833334456076455156647979862690498796694770100520405218930055633597500009574663803955456004439398699669751249623406199542605271188909145969364476344963078599240058180033000440459281558347909876143313940657252737586803051935392596519226965519859474501391969755712097119163926672753588797180811711004203301
q = 105909195259921349656664570904199242969110902804477734660927330311460997899731622163728968380757294196277263615386525795293086103142131020215128282050307177125962302515483190468569376643751587606016315185736245896434947691528567696271911398179288329609207435393579332931583829355558784305002360873458907029141
phi = (p-1)*(q-1)
d = libnum.invmod(e,phi)
print(libnum.n2s(pow(c,d,n)))

 

 

z3库 的计算学习参考  

(66条消息) z3学习笔记（python 3）_python z3_凡_tastic的博客-CSDN博客

 

• 运行稍比  sympy 库的solve 解得慢

 

 

3,sage 解方程

A=[16384, 16641, 16900]
B=[1024, 1025, 1026]
C=[512, 513, 514]
M=[70105864201789081448341323173168814626290331977226399010985718339864141790250496, 295174996474963104919770605739942482686775346823742034261282804762108447183558389, 21938794596119327323920598114656453572273597393994712550717124961084111931664796]
# S= 234626762558445335519229319778735528295

x, y, z = var('x y z')
equation1 = A[0]*x**2+B[0]*x+C[0]==M[0]
equation2 = A[1]*y**2+B[1]*y+C[1]==M[1]
equation3 = A[2]*z**2+B[2]*z+C[2]==M[2]
# equation4=x+y+z==S
solutions = solve((equation1, equation2, equation3), x, y, z)
for solution in solutions:
    print(solution)
    
# [x == 65413472431888815878902893901773169457, y == 133183392452574799979498526266539842331, z == 36029897673981719660827899610422516507]