概述
RSAisEasy是来自于HTB(hackthebox.com)的一个容易级密码学挑战,完成该挑战所需要掌握的知识点在于RSA算法。
题目分析
相关的任务文件包括Python源代码文件RSAisEasy.py以及文本文件output.txt。
RSAisEasy.py内容节选如下
from Crypto.Util.number import bytes_to_long, getPrime
from secrets import flag1, flag2
from os import urandom
flag1 = bytes_to_long(flag1)
flag2 = bytes_to_long(flag2)
p, q, z = [getPrime(512) for i in range(3)]
e = 0x10001
n1 = p * q
n2 = q * z
c1 = pow(flag1, e, n1)
c2 = pow(flag2, e, n2)
E = bytes_to_long(urandom(69))
print(f'n1: {n1}')
print(f'c1: {c1}')
print(f'c2: {c2}')
print(f'(n1 * E) + n2: {n1 * E + n2}')
output.txt给出了n1,c1,c2和(n1 * E) + n2的数值
n1: 101302608234750530215072272904674037076286246679691423280860345380727387460347553585319149306846617895151397345134725469568034944362725840889803514170441153452816738520513986621545456486260186057658467757935510362350710672577390455772286945685838373154626020209228183673388592030449624410459900543470481715269
c1: 92506893588979548794790672542461288412902813248116064711808481112865246689691740816363092933206841082369015763989265012104504500670878633324061404374817814507356553697459987468562146726510492528932139036063681327547916073034377647100888763559498314765496171327071015998871821569774481702484239056959316014064
c2: 46096854429474193473315622000700040188659289972305530955007054362815555622172000229584906225161285873027049199121215251038480738839915061587734141659589689176363962259066462128434796823277974789556411556028716349578708536050061871052948425521408788256153194537438422533790942307426802114531079426322801866673
(n1 * E) + n2: 601613204734044874510382122719388369424704454445440856955212747733856646787417730534645761871794607755794569926160226856377491672497901427125762773794612714954548970049734347216746397532291215057264241745928752782099454036635249993278807842576939476615587990343335792606509594080976599605315657632227121700808996847129758656266941422227113386647519604149159248887809688029519252391934671647670787874483702292498358573950359909165677642135389614863992438265717898239252246163
解题过程
以上代码实现的是基本的RSA算法,p,q和z是随机生成的素数,e是0x10001,E则是一个随机数, 这些数字的关系如下:
n1 = p * q
n2 = q * z
t = (n1 * E) + n2
= p * q * E + q * z
= q * (p * E + z)
由此,我们可以使用已知的n1和t通过如下步骤求解p,q和z
q = n1和t的最大公约数
p = n1 // q
a = p * E + z = t // q
z = a % p
获得p,q和z之后, 就可以使用RSA算法对c1和c2进行解密。
n1 = 101302608234750530215072272904674037076286246679691423280860345380727387460347553585319149306846617895151397345134725469568034944362725840889803514170441153452816738520513986621545456486260186057658467757935510362350710672577390455772286945685838373154626020209228183673388592030449624410459900543470481715269
c1 = 92506893588979548794790672542461288412902813248116064711808481112865246689691740816363092933206841082369015763989265012104504500670878633324061404374817814507356553697459987468562146726510492528932139036063681327547916073034377647100888763559498314765496171327071015998871821569774481702484239056959316014064
c2 = 46096854429474193473315622000700040188659289972305530955007054362815555622172000229584906225161285873027049199121215251038480738839915061587734141659589689176363962259066462128434796823277974789556411556028716349578708536050061871052948425521408788256153194537438422533790942307426802114531079426322801866673
t = 601613204734044874510382122719388369424704454445440856955212747733856646787417730534645761871794607755794569926160226856377491672497901427125762773794612714954548970049734347216746397532291215057264241745928752782099454036635249993278807842576939476615587990343335792606509594080976599605315657632227121700808996847129758656266941422227113386647519604149159248887809688029519252391934671647670787874483702292498358573950359909165677642135389614863992438265717898239252246163
import gmpy2
q = gmpy2.gcd(n1, t)
p = n1 // q
a = t // q
z = a % p
e = 0x10001
phi1 = (p - 1) * (q - 1)
d1 = pow(e, -1, phi1)
flag1 = pow(c1, d1, n1)
n2 = q * z
phi2 = (q - 1) * (z - 1)
d2 = pow(e, -1, phi2)
flag2 = pow(c2, d2, n2)
from Crypto.Util.number import bytes_to_long, long_to_bytes
print("FLAG1 =", long_to_bytes(flag1))
print("FLAG2 =", long_to_bytes(flag2))
