[NCTF2019]babyRSA

这道题虽然说是babyrsa，并不难，但是还是学了不少东西，理解更深了一步

之前一直不知道rsa中n是1024位还是2048位这个位到底指的是什么，也没有用到过，已知模棱两可，知道今天可算是知道了

from Crypto.Util.number import *
from flag import flag
def nextPrime(n):
    n += 2 if n & 1 else 1
    while not isPrime(n):
        n += 2
    return n
p = getPrime(1024)
q = nextPrime(p)
n = p * q
e = 0x10001
d = inverse(e, (p-1) * (q-1))
c = pow(bytes_to_long(flag.encode()), e, n)
# d = 19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913# c = 5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804

上面为题目代码

根据rsa的基础知识可以知道  e*d-1=k*phi

可以看出，q是p的下一个素数，那么p与q相差很小

那么p与q就是（p-1)*(q-1)开平方后两边的素数

我是这样认为的，因为q是p的下一个素数，虽然pq相差不大，但是对于1来讲还是很大的

所以(p-1)*(q-1)>p^2，所以把(p-1)*(q-1)开平方，在它左右两边的素数就是p和q

问题就是找phi

已知p和q都是1024位的数，这里的位指的是二进制的位数，我尝试用sympy的getprime函数取了一个1024位的数，经过检验这个数的二进制形式的长度就是1024！

那么两个1024位的数乘起来至少是2047位，再测量一下e*d-1是2064位，相差17位，所以猜测k应该是个16-18位的数，有趣的是，2的16次方是17位数，2的17次方是18位数，18次方是19位数，没有深究原理，测了几下

于是有以下代码：

d = '19275778946037899718035455438175509175723911466127462154506916564101519923603308900331427601983476886255849200332374081996442976307058597390881168155862238533018621944733299208108185814179466844504468163200369996564265921022888670062554504758512453217434777820468049494313818291727050400752551716550403647148197148884408264686846693842118387217753516963449753809860354047619256787869400297858568139700396567519469825398575103885487624463424429913017729585620877168171603444111464692841379661112075123399343270610272287865200880398193573260848268633461983435015031227070217852728240847398084414687146397303110709214913'
c = '5382723168073828110696168558294206681757991149022777821127563301413483223874527233300721180839298617076705685041174247415826157096583055069337393987892262764211225227035880754417457056723909135525244957935906902665679777101130111392780237502928656225705262431431953003520093932924375902111280077255205118217436744112064069429678632923259898627997145803892753989255615273140300021040654505901442787810653626524305706316663169341797205752938755590056568986738227803487467274114398257187962140796551136220532809687606867385639367743705527511680719955380746377631156468689844150878381460560990755652899449340045313521804'
e=65537
d=int(d)
c=int(c)
from sympy import nextprime, prevprime
import RSApqwithde
import gmpy2
from Crypto.Util.number import *
for i in range(2**15,2**16):
    if (e*d-1)%i==0:
        phi=(e*d-1)//i
        p=prevprime(gmpy2.iroot(phi,2)[0])
        q=nextprime(p)
        if (p-1)*(q-1)==phi:
            n=p*q
            breakm=pow(c,d,n)m=long_to_bytes(m)print(m)