两道矩阵相关的题，在这里整理一下。

首先选定一个大素数$p$p，生成$(,p-)$(1,p−1)内的随机值$priv$priv。

$priv$priv经过SHA256的处理得到key，再用AES通过key加密明文。

题目给定了两个12x12矩阵$D,P$D,P，满足$D^{priv}=P$Dpriv=P。

AES的初始向量已知，因此需要求$priv$priv。

令$D=Tdia{T}^{-}$D=TdiagD​T−1，有

$dia{g}_D^{priv}=T^{-}PT$diagDpriv​=T−1PT

设$dia=diag(,,...,),T^{-}PT=diag(,,...,)$diagD​=diag(λ1​,λ2​,...,λ12​), T−1PT=diag(α1​,α2​,...,α12​)，则

$priv\equiv mod,i=,,...$priv≡logλi​​αi​modδi​,i=1,2,...12

其中$$δi​是$$λi​对$p$p的阶。

先求离散对数，然后求解同余方程组即可。

由于$\le priv\le p-$1≤priv≤p−1，猜测可以唯一确定$priv$priv。

计算之后发现，$dia=diag(,,,,,...,)$diagD​=diag(37,31,29,23,19,...,2)，$$δi​不是$p-$p−1就是$$2p−1​。

于是我选取$\lambda =$λ=37，此时 $\delta =p-,priv=(p-)$δ=p−1, priv=log37​(p−1)直接唯一确定。

python sln.py

CyberErudites{Di4g0n4l1zabl3_M4tric3s_d4_b3st}

选取大质数$p,q,N=pq$p,q,N=pq和一个大随机数$R$R，公钥$e$e，$\gcd (e,(p-\left)\right(q-\left)\right)=$gcd(e,(p−1)(q−1))=1，加密

$c=(R+m^{}{)}^{e}modN$c=(R+m3)emodN

$e,R^e$e,Re和密文都已知，但难以求出$R^{e-},...,R$Re−1,...,R。

注意到题中所给$e=$e=3太小，如果知道至少2个明文密文对，猜测可以构造出其他的多项式值（flag以CyberErudites开头）。

考虑明文$,$m1​,m2​和矩阵D=[3m13​3m23​​3m16​3m26​​]与方程

[λ1​​λ2​​]D=[3m3​3m6​]

其中$m$m是构造明文。

如果$D$D有模$N$N意义的逆$D^{-}$D−1，就可以求出$,$λ1​,λ2​。

令$f(m,R)=m^{}{R}^{}+m^{}{R}^{}$f(m,R)=3m3R2+3m6R3，从而

f(m,R)f(mi​,R)​=3m3R2+3m6R=(3λ1​m13​+3λ2​m23​)R2+(3λ1​m16​+3λ2​m26​)R=λ1​(3m13​R2+3m16​R)+λ2​(3m23​R2+3m26​R)=λ1​f(m1​,R)+λ2​f(m2​,R)=(R+mi3​)3−R3−mi9​=ci​−R3−mi9​,i=1,2​

所以 $c=f(m,R)+R^{}+m^{}=(-R^{}-m_{}^{})+(-R^{}-m_{}^{})+R^{}+m^{}$c=f(m,R)+R3+m9=λ1​(c1​−R3−m19​)+λ2​(c2​−R3−m29​)+R3+m9

由于$p,q$p,q都很大，$\det D$detD较小（明文是ASCII），于是$\det D$detD应当总是有模$N$N逆元，可以大胆求$D^{-}$D−1。

我选取明文即为'C','y'，然后打表对照输出解密。

python sln.py

CyberErudites{Fr4nkl1n_W3_n33d_an0th3R_S3450N_A54P}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课