sign1n
显然能导出下面的式子:
\(k\times phi = e^3\times (WHATF - 3) - 1\).
注意到\(phi = (p-1)\times(q-1)=n-(p+q)+1\), \(n=p\times q\).
考虑构造一元二次方程解出pq.
同时考虑到\(k\times(p+q-1)<n\),代入得到:
\(k\times(p+q-1) = (1 - e^3\times(WHATF - 3)) \mod n\).
这边就能通过GCD得到系数k, 从而得到p + q.
exp:
from Crypto.Util.number import *
import gmpy2
n = 17501785470905115084530641937586010443633001681612179692218171935474388105810758340844015368385708349722992595891293984847291588862799310921139505076364559140770828784719022502905431468825797666445114531707625227170492272392144861677408547696040355055483067831733807927267488677560035243230884564063878855983123740667214237638766779250729115967995715398679183680360515620300448887396447013941026492557540060990171678742387611013736894406804530109193638867704765955683067309269778890269186100476308998155078252336943147988308936856121869803970807195714727873626949774272831321358988667427984601788595656519292763705699
WHATF = 7550872408895903340469549867088737779221735042983487867888690747510707575208917229455135563614675077641314504029666714424242441219246566431788414277587183624484845351111624500646035107614221756706581150918776828118482092241867365644233950852801286481603893259029733993572417125002284605243126366683373762688802313288572798197775563793405251353957529601737375987762230223965539018597115373258092875512799931693493522478726661976059512568029782074142871019609980899851702029278565972205831732184397965899892253392769838212803823816067145737697311648549879049613081017925387808738647333178075446683195899683981412014732
sign = 12029865785359077271888851642408932941748698222400692402967271078485911077035193062225857653592806498565936667868784327397659271889359852555292426797695393591842279629975530499882434299824406229989496470187187565025826834367095435441393901750671657454855301104151016192695436071059013094114929109806658331209302942624722867961155156665675500638029626815869590842939369327466155186891537025880396861428410389552502395963071259114101340089657190695306100646728391832337848064478382298002033457224425654731106858054291015385823564302151351406917158392454536296555530524352049490745470215338669859669599380477470525863815
e = 0x10001
k_phi = e**3 * (WHATF - 3) - 1 # k*phi
k_p_add_q_1 = (1 - e**3 * (WHATF - 3)) % n # k*(p+q-1)
k = GCD(k_phi, k_p_add_q_1)
p_add_q = k_p_add_q_1 // k + 1
assert gmpy2.iroot(p_add_q**2 - 4 * n, 2)[1]
delta = gmpy2.iroot(p_add_q**2 - 4 * n, 2)[0]
p = (p_add_q + delta) // 2
q = p_add_q - p
assert p*q == n
print(f"p = {p}\nq = {q}")
phi = (p-1) * (q-1)
d = inverse(e, phi)
m = pow(sign, e, n)
这边r试了一个2就出了:
r = 2
d = gmpy2.invert(e, phi)
c = gmpy2.invert(pow(r, e**2+d**2, n), n)
print(long_to_bytes(m*c % n))
flag: DASCTF{RSA_Bl1nd_Signatur3_With_M4th}
标签:phi,gmpy2,Crypto,times,WHATF,add,Sign1n,DASCTF From: https://www.cnblogs.com/Lovechan/p/17343828.html