QCTF 2018-Xman-RSA

XMan-RSA

这道题给是一个RSA加密，给了一个长的很像python的脚本文件，不过字符是被重新替换过的。通过一些关键字，比如return，while, import等等，把一一对应的关系找到，并将其还原，就可以看到python文件原本的面目了。

逻辑上，首先将msg按奇偶拆成两个字符串，然后分别对两个字符串用不同的e参数进行RSA加密。关于RSA加密，最重要的公式和参数如下：

e = 0x10001     #可能还有0x1001 0x101等常见取值
m = xxxxxxx      #加密前的明文
c = xxxxxxx      #加密后的密文
n = xxxxxxx      #一个模即mod
d = xxxxxxx      #解密文的关键
p = 质数
q = 质数
其关系公式如下：
C = (M ^ e1) % n
M = (C ^ d) % n
n = p * q 
e与d互为模(n的)反元素，即ed ≡ 1，可以用libnum的函数求出d. d = invmod(e, (p-1)*(q-1))

题目中给了两个base64编码的数据，经过解码之后发现对应的就是n2和n3。另外又给了两段加密后的数据，是对n1用两次不同e进行加密后的密文。

n3现在已知，要求出n1。一开始我是想把n3进行分解，解出p,q，然后解出n1。后来大佬告诉我，观察n3就知道，这种超过512bit以上的数字根本别想着爆破了，仔细观察函数对n1进行加密的两次只有e参数不同，写下关系式：

c1 = (n1 ^ e1) % n3
c2 = (n1 ^ e2) % n3
在数论里有个贝祖定理，只要e1,e2互质，则e1x + e2y = 1一定有整数解。为了往这个方向凑，发现可以将等式进行如下处理
((n1 ^ e1) ^ x )% n3 * ((n1 ^ e2) ^ y )% n3 = (n1 ^ (e1*x + e2*y)) ≡ c1 ^ x * c2 ^y

python中的libnum库可以方便的求出e1x + e2y的整数解

解得x = -120, y = 1913

顾n1 ≡ pow(c1, -120, n3)，但在Python的pow函数中幂不能是负数。于是要换个方法，先求出c1 ^ -1,这里又要用到libnum的求逆函数invmod(c1, n3) % n3然后就可以求出n1

再接下来，已知n1 = p1 * p2, n2 = p1 * p3，可以使用gcd(n1, n2)从而求出p1，然后计算p2, p3。

最后利用求d的公式求出d1,d2然后对两段密文分别进行解密。注意编码格式 ，然后穿插起来就是flag了