RSA101

$p$ , $q$ 为大素数
$n = p*q$
$phi = (p-1)*(q-1)$

$e$ 为小于 $phi$ 的素数
$e*d ≡ 1 \mod phi$

$e$ , $n$ 为公钥; $d$ , $n$ 为私钥
$c ≡ m^e \mod n$
$m ≡ c^d \mod n$

dp & dq

$m ≡ c^d \mod n$
$n = p*q$
$d_p ≡ d \mod (p-1)$
$d_q = d \mod (q-1)$

通过 $p$ , $q$ , $d_p$ , $d_q$ , $c$ 运算得出 $m$

$m ≡ c^d \mod n$
$m ≡ c^d \mod (p*q)$
$m_p ≡ c^d \mod p$
$m_q ≡ c^d \mod q$
$c^d = m_p+k_p*p$
$c^d = m_q+k_q*p$

结合两者可得
$m_q+k_q*q = m_p+k_p*p$

$m_q ≡ m_p+k_p*p \mod q$
$k_p*p ≡ m_q-m_p \mod q$
$k_p ≡ (m_q-m_p)*p^{-1} \mod q$
其中
$p^{-1}*p ≡ 1 \mod q$

代入下式
$c^d = m_p+k_p*p$

可得
$c^d = (((m_q-m_p)*p^{-1})\%q)*p+m_p$
$m ≡ c^d \mod n ≡ (((m_q-m_p)*p^{-1})\%q)*p+m_p \mod n$

对于 $m_p$ , $m_q$
$m_p ≡ c^d \mod p$
$m_p ≡ c^{d_p+k*(p-1)} \mod p$
$m_p ≡ c^{d_p}*c^{k*(p-1)} \mod p$

费马小定理（p为素数）：
$a^{p-1} ≡ 1 \mod p$
则
$c^{k*(p-1)} ≡ 1 \mod p$
$m_p ≡ c^{d_p} \mod p$

同理
$m_q ≡ c^{d_q} \mod q$

$m ≡ c^d \mod n ≡ ((((c^{d_q}\%q)-(c^{d_p}\%p))*p^{-1})\%q)*p+(c^{d_p}\%p) \mod n$

可能存在的非预期
$m < p$
$m ≡ c^d \mod n$
$m ≡ c^d \mod (p*q)$
$m+k*p*q = c^d$
$m+k*p*q = c^d \mod p$
$m ≡ c^d \mod p$
$m ≡ c^{d_p+k*(p-1)} \mod p$
$m ≡ c^{d_p}*c^{k*(p-1)} \mod p$
$m ≡ c^{d_p} \mod p$

dp & dq & dr

在三素数（ $n = p*q*r$ ）的情况下，给出 $p$ , $q$ , $r$ , $d_p$ , $d_q$ , $dr$ , $n$ , $c$ 来求解 $m$
其中
$d_{p} ≡ d \mod (p-1)$
$d_{q} ≡ d \mod (q-1)$
$d_{r} ≡ d \mod (r-1)$
公式不变
$m ≡ c^d \mod n ≡ (((m_q-m_p)*p^{-1})\%q)*p+m_p \mod n$
$m ≡ c^d \mod n ≡ ((((c^{d_q}\%q)-(c^{d_p}\%p))*p^{-1})\%q)*p+(c^{d_p}\%p) \mod n$
~~joker~~

在三素数（ $n = p*q*r$ ）的情况下，给出 $p$ , $q$ , $r$ , $d_p$ , $d_q$ , $dr$ , $n$ , $c$ 来求解 $m$
其中
$d_p = d \% ((q-1)*(r-1))$
$d_q = d \% ((p-1)*(r-1))$
$d_r = d \% ((p-1)*(q-1))$

$d = d_p+k*(q-1)*(r-1)$
$m_p ≡ c^d \mod (q*r)$
$m_p ≡ c^{d_p+k*(q-1)*(r-1)} \mod (q*r)$
$m_p ≡ c^{d_p}*c^{k*(q-1)*(r-1)} \mod (q*r)$
$m_p ≡ c^{d_p} \mod (q*r)$
同理可得
$m_q ≡ c^{d_q} \mod (p*r)$

$c^d ≡ m_p+k_p*q*r$
$c^d ≡ m_q+k_q*p*r$
$m_p+k_p*q*r = m_q+k_q*p*r$
$m_q-m_p = (k_p*q-k_q*p)*r$
$k_p*q*r ≡ m_q-m_p \mod p$
$k_p ≡ (m_q-m_p)*q^{-1}*r^{-1} \mod p$
$c^d = m_p+k_p*q*r$
$c^d = m_p+(((m_q-m_p)*q^{-1}*r^{-1})\% p)*q*r+m_p$
$m ≡ c^d \mod n ≡ (((m_q-m_p)*q^{-1}*r^{-1})\%p)*q*r+m_p \mod n$
$m ≡ c^d \mod n ≡ ((((c^{d_q}\%(p*r))-(c^{d_p}\%(q*r)))*q^{-1}*r^{-1})\%p)*q*r+(c^{d_p}\%(q*r)) \mod n$

dp

通过 $e$ , $d_p$ , $n$ , $c$ 来求解 $m$
$e*d ≡ 1 \mod (p-1)*(q-1)$
$e*d = 1+ k_1*(p-1)*(q-1)$
$e*(d_p+k_2*(p-1)) = 1+ k_1*(p-1)*(q-1)$
$e*d_p+e*k_2*(p-1) = 1 + k_1*(p-1)*(q-1)$
$e*d_p ≡ 1 \mod (p-1)$
$e*d_p-1 = k*(p-1)$
$k = \frac{e*d_p-1}{p-1} < \frac{e*d_p}{p-1} < \frac{e*(p-1)}{p-1} = e$

则可以遍历(2, $e$ )

1
2
3

for i in range(2, e):
	if (e * d_p - 1) % i == 0:
		k = i

$p = \frac{e*d_p-1}{k} + 1$
$q = \frac{n}{p}$
$phi = (p-1)*(q-1)$
$d ≡ e^{-1} \mod phi$
$m ≡ c ^ d \mod n$

共模

\begin{cases} c_1 ≡ m^{e_1} \mod n \\ c_2 ≡ m^{e_2} \mod n \\ \end{cases}

给出 $c_1$ , $c_2$ , $e_1$ , $e_2$ 来求解 $m$

$gce(e_1, e_2) = 1$
使用EEA可得
$s_1*e_1+s_2*e_2 = 1$
$c_1^{s_1}*c_2^{s_2} ≡ m^{e_1*s_1}*m^{e_2*s_2} ≡ m^{e_1*s_1+e_2*s_2} ≡ m \mod n$

但是 $s_1$ , $s_2$ 中有一个为负数
模运算的负数次幂运算如下（假设 $s_1$ 为负数）
$c_1^{s_1} ≡ (c_1^{-1})^{-s_1}\mod n$

s = gmpy2.gcdext(e1, e2)
if s[1] < 0:
    s1 = -s[1]
    s2 = s[2]
    c1_ = gmpy2.invert(c1, n)
    m = (pow(c1_, s1, n) * pow(c2, s2, n)) % n
elif s[2] < 0:
    s1 = s[1]
    s2 = -s[2]
    c2_ = gmpy2.invert(c2, n)
    m = (pow(c1, s1, n) * pow(c2_, s2, n)) % n

低指数

$e$ 很小，存在两种情况

$c = m^e < n$
则可以直接开方
$m = \sqrt[e]{c}$
$c = m^e > n$
$c+k*n = m^e$
$m = \sqrt[e]{k*n+c}$
枚举k即可解出明文

for i in range(0, 100):
    k = gmpy2.iroot(i * n + c, e)
    if k[1] == True:
        m = k[0]

低解密指数 – wiener

理论推导部分省略
结论为当 $d < \frac{1}{3}N^{\frac{1}{4}}$ 成立时
$|\frac{e}{n} - \frac{k}{d}| < \frac{1}{2d^{2}}$ 成立
其中 $e*d = k*\phi(n) + 1$
则 $\frac{k}{d}$ 的值在 $\frac{e}{n}$ 的连分数渐进值中存在

以 $e$ = 17993, $n$ = 90581为例
欧几里得算法流程如下
$17993 = 0*90851 + 17993$
$90581 = 5*17993 + 616$
$17993 = 29*616 + 129$
$616 = 4*129 + 100$
$129 = 1*100 + 29$
$100 = 3*29 + 13$
$29 = 2*13 + 3$
$13 = 4*3 + 1$
$3 = 3*1 + 0$
得到的商数集为 $[0, 5, 29, 4, 1, 3, 2, 4, 3]$
则 $\frac{e}{n}$ 的连分数形式为
$\frac{17993}{90581} = 0+\cfrac{1}{5+\cfrac{1}{29+\cfrac{1}{4+\cfrac{1}{1+\cfrac{1}{3+\cfrac{1}{2+\cfrac{1}{4+\cfrac{1}{3}}}}}}}}$
可求得连分数渐进值为 $[0, \frac{1}{5}, \frac{29}{146}, \frac{117}{589}, \frac{146}{735}, \frac{555}{2794}, \frac{1256}{6323}, \frac{5579}{28086}, \frac{17993}{90581}]$
则遍历收敛即可得到 $(k, d)$ 的值

通过韦达定理可以进行进一步的判别
$n = p*q$
$\phi(n) = \frac{e*d-1}{k} = (p-1)*(q-1)$
$n - \phi(n) = p+q-1$
设立方程式
$x^2 + (n-\phi(n)+1)*x + n = 0$
$x^2 + (p+q)*x + p*q = 0$
如果 $(p+q)^2 - 4*p*q = y > 0$ 成立
且 $\sqrt{y}$ 的结果为正整数
则 $d$ 为正确值
且可以求出 $p$ , $q$

补充

$\vert\frac{a}{b} - \frac{c}{d}\vert < \frac{1}{2d^{2}}$
$\vert\frac{a}{b} - \frac{c}{d}\vert < \frac{1}{2b^{2}}$
区别在于前者在 $\frac{a}{b}$ 的趋近值中求 $\frac{c}{d}$ 的值，后者在 $\frac{c}{d}$ 的趋近值中求 $\frac{a}{b}$ 的值

费马因式分解

对于任意一个奇数n，有 $n = a*b = x^2-y^2 = (x+y)*(x-y)$
而在 $n$ 的分解出的因数接近时，可以从 $x=\sqrt{n}+i, i \in{\Bbb{Z}}$ 开始进行递增遍历
如果 $x^2-n$ 的结果可以被完全开方，则x正确，且开方结果为y
即可得出 $a$ ， $b$
若 $n$ 为有四个因子，则存在两组 $a$ ， $b$ 的值

低指数广播

\begin{cases} c_1 ≡ m^e \mod n_1 \\ c_2 ≡ m^e \mod n_2 \\ c_3 ≡ m^e \mod n_3 \\ \end{cases}

且满足 $m^e < n_1*n_2*n_3$
则可以使用中国剩余定理

\begin{cases} k_1 ≡ (n_2*n_3)^{-1} \mod n_1 \\ k_2 ≡ (n_1*n_3)^{-1} \mod n_2 \\ k_3 ≡ (n_1*n_2)^{-1} \mod n_3 \\ \end{cases}

$m^e = (n_2*n_3*k_1*c_1+n_1*n_3*k_2*c_2+n_1*n_2*k_3*c_3)\%(n_1*n_2*n_3)$
$m = \sqrt[e]{(n_2*n_3*k_1*c_1+n_1*n_3*k_2*c_2+n_1*n_2*k_3*c_3)\%(n_1*n_2*n_3)}$

smooth number

若p-1的素因子均不大于b
那么p-1为 b-smooth number
遍历不大于b的素数 $a_i$
$B = \prod_{i}{a_i}$
则 $B = k*(p-1)$
$a^B ≡ a^{k*(p-1)} ≡ 1 \mod p$
$a^B ≡ a^{k*(p-1)} ≡ x \mod n$

wiki中给出模除的计算方法如下
$d \mod (abc) = (d \mod a) + a[(d / a) \mod b] + ab[(d / a / b) \mod c]$

$a^B ≡ a^{k*(p-1)} ≡ x \mod (p*q)$
$a^B ≡ a^{k*(p-1)} ≡ x \mod p + p*(\frac{x}{p} \mod q)$
$a^B = a^{k*(p-1)} = 1 + k*p$

$gcd(a^{B}-1, n) = gcd(k*p, q*p) = p$

p（非预期）

$m < p$
$c ≡ m^e \mod n$
$c ≡ m^e \mod (p*q)$
$c_p ≡ m^e ≡ c \mod p$
$e*d ≡ 1 \mod (p-1)$
$e*d = k*(p-1)+1$
$c_p^d ≡ m^{e*d} ≡ m^{k*(p-1)+1} ≡ m \mod p$

d

$q = nextprime(p)$
$e*d ≡ 1 \mod phi$
$e*d-1 = k*phi$
$\frac{e*d-1}{k} = phi$
根据 $e*d-1$ 和 $phi$ 的位数之差可以得到 $k$ 的大概范围
在范围中遍历 $k$
得到可能的 $phi$ 值
$nextprime(\sqrt{phi}$ ) 即为 $q$
$p = \frac{phi}{q-1}+1$
计算 $e*d\ \%\ (p-1)*(q-1)$ 的结果若为1
则 $p, q$ 值正确，即所得 $phi$ 值正确

n & ed

$e*d = k*phi + 1$
$k = \frac{e*d - 1}{phi} = \frac{e*d - 1}{(p - 1)*(q - 1)} > \frac{e*d - 1}{p*q} = \frac{e*d - 1}{n}$
$n$ 略大于 $phi$
则 $k$ 略大于 $\frac{e*d - 1}{n}$
爆破即可得到 $k$
$phi = \frac{e*d - 1}{k} = (p - 1)*(q - 1)$
$n - phi + 1= p*q - (p - 1)*(q - 1) + 1 = p + q$
$p - q = (p + q)^{2} - 4*p*q = (p + q)^{2} - 4*n$
$p = \frac{(p + q)+(p - q)}{2}$
$q = \frac{(p + q)-(p - q)}{2}$

Rabin

$n = p * q$
$c ≡ m^{2} \mod n$

这种情况下即使已知 $phi$ 和 $e$ ，也不能通过正常的方法去解出 $m$
$p$ , $q$ 为素数，即为奇数
则 $(p - 1)$ 和 $(q - 1)$ 为均为偶数
则 $phi$ 为偶数
$gcd(phi, e) = 2$
$e$ 在模 $phi$ 的情况下逆元则不存在

这里需要使用Rabin算法来进行计算
其核心为二次剩余以及中国剩余定理

$c ≡ m^{2} \mod n$
这里可以分解为两个式子

\begin{cases} c_{p} ≡ m^{2} ≡ c \mod p \\ c_{q} ≡ m^{2} ≡ c \mod q \end{cases}

对于第一个式子
$c_{p} ≡ m^{2} \mod p$
则 $c$ 是模 $p$ 的二次剩余
根据欧拉判别法可以得到
$c^{\frac{p - 1}{2}} ≡ 1 \mod p$
$m^{2} ≡ c ≡ c * c^{\frac{p - 1}{2}} ≡ c^{\frac{p + 1}{2}} \mod p$
开根号得到以下结果

\begin{cases} c_{1} ≡ c^{\frac{p + 1}{4}} \mod p \\ c_{2} ≡ -c^{\frac{p + 1}{4}} ≡ p - c^{\frac{p + 1}{4}} \mod p \end{cases}

对于c模q的情况同理

\begin{cases} c_{3} ≡ c^{\frac{q + 1}{4}} \mod q \\ c_{4} ≡ -c^{\frac{q + 1}{4}} ≡ q - c^{\frac{q + 1}{4}} \mod q \end{cases}

对于以下组合分别进行CRT

\begin{cases} c_{1} \& c_{3} \\ c_{1} \& c_{4} \\ c_{2} \& c_{3} \\ c_{2} \& c_{4} \end{cases}

$k_{p} ≡ q^{-1} \mod p$
$k_{q} ≡ p^{-1} \mod q$

\begin{cases} m_{1} = q*k_{p}*c_{1} + p*k_{q}*c_{3} \mod n \\ m_{2} = q*k_{p}*c_{1} + p*k_{q}*c_{4} \mod n \\ m_{3} = q*k_{p}*c_{2} + p*k_{q}*c_{3} \mod n \\ m_{4} = q*k_{p}*c_{2} + p*k_{q}*c_{4} \mod n \end{cases}

$m$ 就存在于四种结果之中

wilson

$(p-1)! ≡ -1 \mod p$
$(p-1)! ≡ p-1 \mod p$
$(p-2)! ≡ 1 \mod p$
求 $q! \mod p$ 的值
其中 $q < p$ , 且 $p - q$ 的值不大
$x = 1$
$i$ 从 $q + 1$ 到 $p - 2$ 进行遍历
$x = x * (i^{-1} \mod p)$
则 $q! = x$

openssl

public.key

1	openssl rsa -pubin -modulus -text -in public.key

得到 $e$ , $n$

flag.enc

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_OAEP
key_info = RSA.construct((n, e, d, p, q))
key = RSA.importKey(key_info.exportKey())
key = PKCS1_OAEP.new(key)
f = open('flag.enc', 'r').read()
c = base64.b64decode(f)
m = key.decrypt(c)
##################
import rsa
key = rsa.PrivateKey(n,e,int(d),p,q)
c = open('flag.enc','rb').read()
print(rsa.decrypt(c,key))

coppersmith 101

首先有一个首一的多项式
$F(x) = x^b+a_{b-1}*x^{b-1}+...+a_{1}x+a_{0}$
我们知道存在一个整数 $x_{0}$ ，使得 $F(x_{0}) ≡ 0 \mod n$
则可以借助coppersmith’s method，将该式转换到整数域上
使得 $G(x) = 0$

Example

$n = 11 * 19 = 209$
$F(x) ≡ 23*x^2 + 13*x + 61 ≡ 0 \mod n$
这里的首项不为1，则可以乘上23的逆元
$F(x) ≡ (23*x^2 + 13*x + 61)*100 ≡ 0 \mod n$
$F(x) ≡ x^2+134*x+40 ≡ 0 \mod n$
$G(x) = a*F(x) + n*K$ (K为x的多项式)
解得 $G(6) = 0$
即 $F(6) ≡ 0 \mod n$

对于RSA的学习大概要告一段落了，该去花点时间学学Web，或是做做题，或是写写PHP。
The End, The Start.

xXxYOLOxXx

Crypto -- RSA