LCG 线性同余（LCG）是产生伪随机数的方法。 基本形式： \[ X_{n+1}=(aX_n+b)\;mod\;m \] 基本公式 公式一 求递归数组元素 \[X_n=a^{-1}(X_{n+1}-b)\;mod\;m\] 公式二 求参数 a 利用两个递归式消去 b 得到 a \[a=(X_{n+2}-X_{n+1})(X_{n+1}-X_n)^{-1}\] 公式三 求参数 b \[b=(X_{

d3noisy 1234567891011121314151617181920212223242526272829303132333435from Crypto.Util.number import *import gmpy2with open('out.txt') as f: n=int(f.readline()[4:]) p=eval(f.readline()[

基本原理 RSA 中加、解密： 加密\(c = m^e\quad mod\quad n\) 解密\(m = c^d\quad mod\quad n\) 接下来证明一下解密过程，先引入欧拉定理。 欧拉定理 对于互为质数的 m、n 两个数，有\(m^{\phi(n)} = 1\quad mod\quad n\)，其中\(\phi(n)\)表示小于 n 的质数的个数。 解密原理 通过\(c = m^e\

ECC 椭圆曲线密码学(Elliptic Curve Cryptography)，是一种基于椭圆曲线数学的公钥密码。 基于 ECC 的三大问题：密钥交换、数字签名、离散对数 椭圆曲线 椭圆曲线定义式：\(y^2\;=x^3+ax+b\)，（维尔斯特拉斯标准形式） 曲线的一般形式：\(y^2+a_1xy+a_3y\;=x^3+a_2x^2+a_4x+a_6\) 判别式\(\Delta=-16(4a^

Euler's Factoring to RSA Outline 对于 RSA 中\(N=(ma^2+nb^2)(mc^2+nd^2)\)的情况进行分析以及安全性评测。 Euler's factorization method 欧拉因式分解法是通过两种方式将数字写成两个平方和来分解数字的方法，对于一个合数\(N\)来说，若\(N=a^2+b^2\)，则可以将\(N\)进行因式分解，例如\(1000

最后 rank 排第 4，差一道 AK，可惜。 ez_enc 题目描述说了不是培根加密，所以考虑 AB 为二进制情况，192 位数判断，8 位为一组，简单写个脚本跑就行。NSSCTF{mS4gT1Kv9L8NjPzx} MyMessage(2🩸) 题目 123456789101112131415161718192021from Crypto.Util.number impor

数字中国 Babysecret 题目 123456789101112131415161718192021222324252627282930from Crypto.Util.number import *from secrets import flagassert len(flag) == 38t = 30p = getPrime(512)x = getPrime(512)while x >

DUTCTF2023wp 写在前面 仔细一想自己学 CTF 也一年了，纪念一下最后一次参加校赛 🥹，明年可就是出题人了 🤓。但是感觉一年以来荒废了很多时间，在很多方面对题目不熟悉，总跑偏，甚至是自己复现过的一些方法都没意识到（hint 太到位了 😭）。 Crypto 第一次 ak，好爽 😭 *老滚五 百度搜龙语，耐心对着找就出了DUTCTF{YOU_ARE_A_REAL_DRAG

原理 Coppersmith 定理是在一个 e 阶模 n 的多项式\(f(x)\)中，若有根小于\(n^{\frac{1}{e}}\)，则可以用 O(log n)的算法求出根。 直接求解\(f(x)\)的根可能比较困难，在此利用LLL算法求得多项式\(g(x)\)，求得的多项式与\(f(x)\)具有相同的根\(x_0\)，\(g(x)\)具有更小的系数，且定义域为整数域。 本质思想就是把有限域上的

Pohlig-Hellman 算法（光滑阶） 给定 a,b,p，p 是素数，求 x，\(a^x \equiv b (mod\;p)\) 在模 p 下，设该群的生成元为 g，则有 \[ a \equiv g^{a1} (mod\;p) \newline b \equiv g^{b1} (mod\;p) \] 联立条件有 \[ g^{a1x} \equiv g^{b1} (mod\;p) \] 由欧拉