BUAA^AITMCLAB&Level2题解

Level2题解

• msg部分

  • $<N,d>$已知，密文$c$已知，直接使用RSA解密变换即可

  • msg = n2s(fast_power(c, d, N))
    # store_your_private_key}
    

• flag部分

  • 使用公钥$<N,e_2>$进行了加密得到密文$c2$

  • 发现无法直接求解$d_2$,考虑从msg部分获取信息——是否能分解$N=pq$?

  • 问题转换为：已知$<N,e,d>$,如何求解$N=pq$?

    • 算法如下：

    $$\begin{gathered} Input:<N,e,d> \\ Output:p、q(N=pq) \\ 1.初始化：k=de-1 \\ 2.生成随机整数g：1<g<N,并设t=k \\ 3.分析t：如果2\mid t,设t=\frac{t}{2},x=g^t(modN),否则回到第2步 \\ 4.结束条件：如果x>1并且y=gcd(x-1,N)>1，那么设p=y,q=\frac{N}{y}并输出，否则回到第3步 \end{gathered}$$

    • 代码实现：

      def get_pq(n, e, d):
          """
          已知(n,e,d)求解(p,q)
          """
          k = d * e - 1
          f = 1
          while f:
              g = randint(2, n - 1)
              while f and k % 2 == 0:
                  k = k // 2
                  x = pow(g, k, n)  # 可以使用快速幂
                  p = gcd(x - 1, n)
                  # print(p)
                  if x > 1 and p > 1:
                      q = n // p
                      f = 0
          return p, q
      

  • flag解密实现：

    p, q = get_pq(N, e, d)
    phi = (p - 1) * (q - 1)
    d2 = invmod(e2, phi)
    flag = n2s(rsa_decrypt(N, d2, c2))
    # aitmc{It_is_important_to_
    

注：本文rsa相关函数实现在rsalib.py