Rsa共模攻击

共模攻击主要利用的是，同一个明文通过两个互质的e对同一个n取余。（如下）

c1 = pow(m,e1,n)
c2 = pow(m,e2,n)

数学上存在一个关系

e1*x+e2*y=gcd(e1,e2) #定有x y满足这个式子

同时又有(前提 m<n 否则会在取余时丢失数据)

(m^e1)^x * (m^e2)^y %n = m^(e1*x+e2*y) %n
  (c1^x) * (c2^y) %n   = m^gcd(e1,e2)  %n
#如果两边都开gcd(e1,e2)次方则 
((c1^x) * (c2^y))^(1/gcd(e1,e2))%n=m %n  

exp:

def gongmogongji(c1, c2, e1, e2,n):
	from Crypto.Util.number import long_to_bytes
	from gmpy2 import gcdext,iroot
	gcd,x,y=gcdext(e1,e2)#求出e1*x+e2*y=gcd(e1,e2)的解
	m=iroot((pow(c1,x,n)*pow(c2,y,n))%n,gcd)[0]#根据((c1^x) * (c2^y))^(1/gcd(e1,e2))%n=m %n  计算出对应的m
	return long_to_bytes(m)#将m转换回bytes数组

m>n时

def gongmogongji(c1, c2, e1, e2,n):
    from Crypto.Util.number import long_to_bytes
    from gmpy2 import gcdext,iroot
    gcd,x,y=gcdext(e1,e2)#求出e1*x+e2*y=gcd(e1,e2)的解
    tmp=0
    m=int(iroot((pow(c1,x,n)*pow(c2,y,n))%n+tmp*n,gcd)[0])#根据((c1^x) * (c2^y))^(1/gcd(e1,e2))%n=m %n  计算出对应的m
    while b'DASCTF' not in long_to_bytes(m):
        tmp+=1
        m=int(iroot((pow(c1,x,n)*pow(c2,y,n))%n+tmp*n,gcd)[0])#根据((c1^x) * (c2^y))^(1/gcd(e1,e2))%n=m %n  计算出对应的m
    return long_to_bytes(m)#将m转换回bytes数组