2019广东外语外贸大学CTF新手赛-密码学-RSA题解

题面

n=100000463700003241

e=17

密文：

分析：

题面已明示是RSA加密，已公开n与公钥e，n为1e18内的数字（64位）.要爆破RSA，显然是先分析n的值。

n的值是由两个素数p和q相乘得出，所以我们需要将n因数分解。

n为64位，可能有1e18内的任意一对素数生成，计算机每秒运行少于1e9次，所以n^2暴力的素数表爆破是时间过长的。我们需要优化爆破算法。

我们可以取一个素数p，q=n/p,检测q是否为素数，q*p是否为n，以此来爆破p q（耗时1200秒左右）

根据这个思路，我们用米勒素数判定来检测p q即可实现（素数打表速度过慢）

也可以通过生成1e9的素数表，通过二分搜索来实现爆破，速度更快

代码如下：

 #include <iostream>
 #include <map>
 #include <time.h>
 using namespace std;
 #define ll long long
 /**
 Miller_Rabin 算法进行素数测试
 快速判断一个<2^63的数是不是素数,主要是根据费马小定理
 */
 //#define ll __int128
 const int S=; ///随机化算法判定次数
 ll MOD;
 ///计算ret=(a*b)%c  a,b,c<2^63
 ll mult_mod(ll a,ll b,ll c)
 {
     a%=c;
     b%=c;
     ll ret=;
     ll temp=a;
     while(b)
     {
         if(b&)
         {
             ret+=temp;
             if(ret>c)
                 ret-=c;//直接取模慢很多
         }
         temp<<=;
         if(temp>c)
             temp-=c;
         b>>=;
     }
     return ret;
 }

 ///计算ret=(a^n)%mod
 ll pow_mod(ll a,ll n,ll mod)
 {
     ll ret=;
     ll temp=a%mod;
     while(n)
     {
         if(n&)
             ret=mult_mod(ret,temp,mod);
         temp=mult_mod(temp,temp,mod);
         n>>=;
     }
     return ret;
 }

 ///通过费马小定理 a^(n-1)=1(mod n)来判断n是否为素数
 ///中间使用了二次判断,令n-1=x*2^t
 ///是合数返回true，不一定是合数返回false
 bool check(ll a,ll n,ll x,ll t)
 {
     ll ret=pow_mod(a,x,n);
     ll last=ret;//记录上一次的x
     for(int i=;i<=t;i++)
     {
         ret=mult_mod(ret,ret,n);
         if(ret==&&last!=&&last!=n-)
             return true;//二次判断为是合数
         last=ret;
     }
     if(ret!=)
         return true;//是合数,费马小定理
     return false;
 }

 ///Miller_Rabbin算法
 ///是素数返回true(可能是伪素数)，否则返回false
 bool Miller_Rabbin(ll n)
 {
     if(n<) return false;
     if(n==) return true;
     if((n&)==) return false;//偶数
     ll x=n-;
     ll t=;
     while((x&)==)
     {
         x>>=;
         t++;
     }
     srand(time(NULL));
     for(int i=;i<S;i++)
     {
         ll a=rand()%(n-)+; // 生成随机数 0<a<=n-1  去试试
         if(check(a,n,x,t))
             return false;
     }
     return true;
 }
 int main(){
     ll n,p,q;
     cin>>n;
     for(int i=;i<;i++){
         if(Miller_Rabbin(i)){
             p=n/i;
             if(Miller_Rabbin(p)&&i*p==n){
                 cout<<p<<" "<<i<<'\n';
                 break;
             }
         }
     }
 }

爆破p q

爆破出p q 后我们手搓RSA加密来生成密钥

（拓展欧几里得算法、欧拉函数、快速幂运算）

代码如下：

 #include <iostream>
 using namespace std;
 #define ll long long
 ll exgcd(ll a,ll b,ll &x,ll &y){

     if(a==&&b==) return -;
     if(b==){
         x=,y=;
         return a;
     }
     ll d=exgcd(b,a%b,y,x);
     //cout<<a<<" "<<b<<'\n';
     y-=a/b*x;
     return d;
 }
 ll poww(ll a,ll b,ll c){  //快速幂取模
     ll ans(),base=a%c;
     //a=a%c;
     while(b){
         if(b&) ans=(ans*base)%c;
         base=base*base%c;
         b>>=;
     }
     return ans;
 }

 int main(){
     int flag();
     ll p,q,ou,ed,n,e(),x(),y(),num1,ans,s;
     cin>>flag;
     if(flag==){
         cout<<"依次输入 p q 与 e:";
         cin>>p>>q;
         n=p*q;
         ou=(p-)*(q-);
         cin>>e;
         num1=exgcd(e,ou,x,y);
         //y=y+e/ou*x;
         if(x<=)x=(x+ou)%ou;
         //x=(x+e)%e;
         cout<<"N值："<<n<<'\n';
         cout<<"公钥："<<e<<'\n';
         cout<<"密钥："<<x<<'\n';
         return ;
     }
     if(flag==){
         cin>>s>>e>>n;
         ans=poww(s,e,n);
         cout<<ans<<'\n';
     }
 }

RSA加密生成密钥

得到密钥后我们手写py脚本，通过密文算出明文（快速幂运算）

 def poww(a,n,mod):
     ret=1
     tmp=a%mod
     while(n>0):
         if(n%2!=0):
             ret=(ret*tmp)%mod
         tmp=tmp*tmp%mod
         n>>=1
     return ret
 s1=e=n=1.0
 n=int(input())
 e=int(input())
 while(True):
      s1=int(input())
      ans=poww(s1,e,n)
      print(ans)

解密密文

观察生成的明文，我们发现其都在ASCII码的范围之内，尝试转出字符，可得到网址与博客密码

进入博客后可以看到一篇加密后的林肯的《底斯堡演讲》

因为题面提示，此密文为古典密码，我们可以通过分析字频（英文字母e i s）或者暴力破解（跑所有古典密码解密方案，并用词典进行对比），可以发现此加密为凯撒加密，即可得到flag

坑点、考点、思路总结：

首先你得会RSA加密（我学了一小时不到就来出题了）

在不会各种算法、数论知识的情况下可以借助外界工具解题，如在线因数分解，py库提供的种种数学调用

本题出题的目的是考察算法知识、数论知识、与对数据的分析判断，很多同学使用了各种外界工具来辅助解题，但依旧希望各位能够去了解、学习上述知识点与算法，为后续的密码学学习打下基础