RSA已知p高位

from Crypto.Util.number import getPrime, bytes_to_long
from secret import flag
p = getPrime(1024)
q = getPrime(1024)
n = p * q
e = 65537
hint1 = p >> 724
hint2 = q % (2 ** 265)
ct = pow(bytes_to_long(flag), e, n)
print(hint1)
print(hint2)
print(n)
print(ct)

题目如上，由hint1可知p的低724位丢失，而q的高位丢失到只剩下低位265位，因为q%(2**256)后得到的余数一定小于2**265，而2**265对应的二进制就是265位。

提取出的数学式子就是 $q_{0} \equiv q (m o d 2^{265}) \Rightarrow n \equiv p q_{0} (m o d 2^{265})$

则 $q_{0}^{- 1} n \equiv p (m o d 2^{265})$

令 $p_{0} \equiv p (m o d 2^{265})$

则 $p_{0} \equiv q_{0}^{- 1} n (m o d 2^{265})$

而 $q_{0}$ 的逆为 $q_{0} q_{0}^{- 1} \equiv 1 (m o d 2^{265})$

sage代码如下：

from Crypto.Util.number import long_to_bytes
h1 = 1514296530850131082973956029074258536069144071110652176122006763622293335057110441067910479

h2 = 40812438243894343296354573724131194431453023461572200856406939246297219541329623

n = 21815431662065695412834116602474344081782093119269423403335882867255834302242945742413692949886248581138784199165404321893594820375775454774521554409598568793217997859258282700084148322905405227238617443766062207618899209593375881728671746850745598576485323702483634599597393910908142659231071532803602701147251570567032402848145462183405098097523810358199597631612616833723150146418889589492395974359466777040500971885443881359700735149623177757865032984744576285054725506299888069904106805731600019058631951255795316571242969336763938805465676269140733371287244624066632153110685509892188900004952700111937292221969

c = 19073695285772829730103928222962723784199491145730661021332365516942301513989932980896145664842527253998170902799883262567366661277268801440634319694884564820420852947935710798269700777126717746701065483129644585829522353341718916661536894041337878440111845645200627940640539279744348235772441988748977191513786620459922039153862250137904894008551515928486867493608757307981955335488977402307933930592035163126858060189156114410872337004784951228340994743202032248681976932591575016798640429231399974090325134545852080425047146251781339862753527319093938929691759486362536986249207187765947926921267520150073408188188

e = 0x10001
mod = 1<<265#即2^265

pl = n*inverse_mod(h2, mod) % mod

pbar = (h1 << 724) + pl

至此可以算出p的低265位，还有724-265=459位未知，但是coppersmith定理至少要求未知位数小于454，所以还有5位未知，可以爆破

完整sage代码如下:

from Crypto.Util.number import long_to_bytes
h1 = 1514296530850131082973956029074258536069144071110652176122006763622293335057110441067910479

h2 = 40812438243894343296354573724131194431453023461572200856406939246297219541329623

n = 21815431662065695412834116602474344081782093119269423403335882867255834302242945742413692949886248581138784199165404321893594820375775454774521554409598568793217997859258282700084148322905405227238617443766062207618899209593375881728671746850745598576485323702483634599597393910908142659231071532803602701147251570567032402848145462183405098097523810358199597631612616833723150146418889589492395974359466777040500971885443881359700735149623177757865032984744576285054725506299888069904106805731600019058631951255795316571242969336763938805465676269140733371287244624066632153110685509892188900004952700111937292221969

c = 19073695285772829730103928222962723784199491145730661021332365516942301513989932980896145664842527253998170902799883262567366661277268801440634319694884564820420852947935710798269700777126717746701065483129644585829522353341718916661536894041337878440111845645200627940640539279744348235772441988748977191513786620459922039153862250137904894008551515928486867493608757307981955335488977402307933930592035163126858060189156114410872337004784951228340994743202032248681976932591575016798640429231399974090325134545852080425047146251781339862753527319093938929691759486362536986249207187765947926921267520150073408188188

e = 0x10001
mod = 2**265

pl = n*inverse_mod(h2, mod) % mod

pbar = (h1 << 724) + pl
PR.<x> = PolynomialRing(Zmod(n))
for i in range(64):

f = pbar + (xmod64) + (i<<265)

f = f.monic()

pp = f.small_roots(X=2^453, beta=0.4)

if pp: break
p = int(pbar + (pp[0]<<271) + (i<<265))

q = n // p

d = inverse_mod(e, (p-1)*(q-1))

print(long_to_bytes(power_mod(c, d, n)))