2024-NSSCTF-Round-18-Basic-wp-crypto

参与了Round18的出题工作，出了三道Ring，在这里记录一下这三个题目的做法。

出题的本意也是想详细介绍一下RLWE的攻击原理。

New Year Ring1

题目描述：

新年用个新环！

题目：

from Crypto.Util.number import *
from random import *
from secret import flag

p = getPrime(128)
n = 64
assert len(flag) < n

PRp.<x> = PolynomialRing(Zmod(p))
f = x^n+2024
PR = PRp.quo(f)
assert f.is_irreducible()

A = [randint(0, p) for i in range(n)]
E = [randint(-4, 4) for i in range(n)]
S = [ord(flag[i]) for i in range(len(flag))]

B = PR(A)*PR(S)+PR(E)
print(A)
print(B.list())
print(p)

#[203211966212120647994404162543901058385, 113998159211311856163959557092243561040, 300945935078651395200612763362025786190, 289539358962072307485802285781112184506, 266860644401078099268835882620812059236, 109469988130078797414202659254940150397, 142193430695353860553837582452159920561, 163603443131512016589524436620766900399, 125570052004030843134707673404921516235, 289517595415670285587801685152176297797, 260336477592153246815046507549532230446, 89128330175853905837766718032373473126, 187717315035064338496744033397006646838, 47398231438108384695170959715078016751, 320133498675264306580441374518511607677, 289224545427213583554005441616103706530, 48124450498844786580485017131751952117, 139700877104641187048620578708689412417, 71574579434689200165233820726593943746, 138252394765364749010226318178055019086, 261521192680609185598298661488532314373, 226827408720691280529315243806063440819, 312302166514031202715929873278517388968, 41543713499646037109947736777306720313, 265649922622063773566846630839697709881, 243184423040946982395304999253912592156, 206198258022435934039803402480943364253, 26031203447491686152181680360833340987, 267200487804167757054737887061948559784, 301825292179107181769802726785989059100, 245678367957552191949253880949910260990, 171086126608355874606827637031412493750, 238890683861901290139689496391030872360, 22845910272546674819720769022817968767, 28421978727921425902205492605476665131, 171865962533483544755013698922220144571, 133361830829435140268114465077140337526, 86265129464226210912927536339928098681, 68669331909862762270788724935161403154, 201866646039120111937128925580825280486, 13363589230429215865126757180274178298, 17909430443917365585897023486940736171, 91757667623716596753047172893731203404, 46825614193892927425213536328954419018, 131552079476235333764480742173849445520, 235812708672214623030453261917981487844, 128419026868422646823814506658958018620, 165071194644940049087362229894395125949, 119007848732714973887391773573107966930, 142175857554093924103634649494868118501, 324116975329566500720942384202511507819, 145202961579339260969095793970625895397, 302068925092915352636494174062039213344, 204865812301701145536309778960425467197, 73204183646529021271666811846606597696, 305266620775559116657495389805588046145, 38573243820497560644612322159835262762, 204132117511623685134894865125985283485, 152661573492853637425833316355962196973, 234147606390346795925961511757446390699, 101214795511329059676976012743816028858, 45259554101612024332508390665659000501, 69808091348685800959727855379331581323, 96236770545429224235813571394198156104]
#[122276244512812151700561410687880152355, 288902265068638112029210922418017307765, 227157280930411828282688954386270375417, 51392889392439935890454046852827718770, 107818090106926819686128970258855341987, 39797693303511873260100821082668360148, 165165311283389310714977999739406590465, 145742713856100761940986808065029032102, 85681122792038178595571398323505588215, 161750232371529874705027252096297284499, 65492947650590100527727115268504178500, 158980937836523416847183159463389719119, 217622237154991741032187619647917235486, 214403448117831129512734472087177528755, 7203970244866082501778704003244517036, 209327947737263058848347484690330837593, 261471938052725575109694161428073566879, 290548445194039386389333379248698464710, 786777047021934678707520080022646500, 181116047323074255804762916647191259040, 321394759425138484862188864303222149962, 172828377940330639355360387538637264455, 66514389687485973164456706712404934406, 123351805496712587796702291879739918777, 52527849016391552904401277415521541344, 269082045250550515743652451127140175208, 46611178931314336386280465499464556662, 306738233577541073584072095728624359658, 27700046031756446145225137030746217892, 90225963569273234686624144350335934112, 67692467833088163585206113599832005433, 323500338166210082579512376483956531150, 268393735497552347113220159171930201434, 303137349721700995847836323480358301717, 37409490969034515063902941681541879806, 89987553043378360059649171549894177100, 177195833588614025644477178454034861283, 186453862621405866128018280976135392700, 134539827243365382868881776050914249090, 174423939567752183215031097600196039560, 141295420547653230540490506885038874517, 71077155156144579112947495766255667953, 219294250229364145810766028169964010349, 32511078113518753980651829431342417337, 303329577727497287329206502612155346064, 90557253357868638265309134765551619996, 274174517174776162629592599514881337711, 49932861529770838835799830915660452043, 12677314962488846037929508134986771433, 234965385179859810854399287906068885976, 11962701379314564572722140202812617562, 315105728460289255044517314167781474357, 92397698128764550243762952707724608359, 79161472796010129344236399474925315198, 8230717415162461432383488082982662910, 187550346095617606538292501947907284159, 111838535125019998906719357578490542024, 127632981408215865540832181515313916183, 77787230784265032836219137545199240126, 209675082880646980235572000733260128373, 318088800052782828672155510824979199450, 197936332876846440605381880211398578620, 163607618093826671398256369217224613243, 325974106851521509536970685901401508674]
#330464659390823375471800230370495966901

题目就是一个RLWE，只是改变了其环R为：

$\frac{Z_p[x]}{x^{64}+2024}$

具体来说，题目将长度不到64的flag串编码成R上的多项式S，然后生成随机多项式A，并且随机生成一个小噪声多项式E，计算出：

$B = AS + E$

给出A、B，要求还原S。

实际上攻击的点就在于多项式S的系数都是ASCII码值，所以在模p下显得很小，从而可以用格攻击。

如果本身就了解RLWE造格的具体原理的话这题目就很简单，只需要略微改一改格就很快能做出。但如果一直以来造RLWE的格都是直接找别人的脚本跑、而不知道具体原理的话，可能就不太清楚如何改起。这里简单阐述一下其造格的思路，先从多项式乘法的矩阵表示讲起。

多项式乘法的矩阵表示

首先，对于一个多项式，我们可以用一个由其系数组成的向量来表示这个多项式，而不同幂次就仅仅代表着系数在多项式中的位置。那么现在把眼光放回这个题目里，由于环R的模多项式度是64，所以其中的多项式次数最高为63，因此对于这题目中的多项式S，我们可以把它写作如下向量：

$(s_0,s_1,s_2,...s_{63})$

它对应的多项式就是：

$S = s_0 + s_1x + s_2x^2 + ... + s_{63}x^{63}$

同理多项式B、E也就可以写成是：

$(b_0,b_1,b_2,...b_{63})$ $(e_0,e_1,e_2,...e_{63})$

接下来的问题是，我们如何把多项式的乘法，也就是AS这个计算过程写成矩阵表示。这一部分详细一点可以参考：

NTRU学习笔记 | Tover’ Blog

其实核心思路并不复杂，比如对于上文中的环R，其模多项式是：

$x^n - 1$

这其实也就说明一个事情，在环R中总有：

$x^n = 1 \quad(mod \; x^n-1)$

这也就是说：

$x^{n+i} = x^i \quad(mod \; x^n-1)$

那么我们假设对于两个环R中的多项式a、b相乘，其得到的结果是c。我们知道a、b、c的最高次项的次数都小于n。所以如果我们仅仅计算ab乘积而不模x^n-1的话，他最多就有0到2n-2次项。又由上面的x^(n+i)=x^i，我们就可以推得下面这个重要性质：

乘积c中的i次项系数，其实就是ab乘积中的i次项系数与n+i次项系数之和

那么我们就可以根据这个性质写出多项式乘法的矩阵表示了。我们设a、b、c分别为：

$(a_0,a_1,a_2,...a_{n-1})$ $(b_0,b_1,b_2,...b_{n-1})$ $(c_0,c_1,c_2,...c_{n-1})$

比如对于c0，其代表的含义是ab乘积的0次项的系数，对应的我们就需要找ab乘积中的所有0次项以及n次项的系数并求和就得到c0；同理c1就找ab中的1次项以及n+1次项系数求和，以此类推。

这就得到了多项式乘法的矩阵表示形式：

$(a_0,a_1,a_2,...a_{n-1}) \left( \begin{matrix} b_0 &b_1 &b_2 &\cdots &b_{n-1}\\ b_{n-1}&b_0 &b_1 &\cdots &b_{n-2}\\ b_{n-2}&b_{n-1}&b_0 &\cdots &b_{n-3}\\ \vdots &\vdots &\vdots&\ddots &\vdots\\ b_1 &b_2 &b_3 &\cdots &b_0\\ \end{matrix} \right) = (c_0,c_1,c_2,...c_{n-1})$

需要注意的是，刚才我们讨论的环是模x^n-1下的，所以才会有x^(n+i)=x^i这一事实。而在本题目中环R是在模x^64+2024下的，上面的式子不成立，那么又该怎么办？

做法也很简单，相似的道理有：

$x^{64} = -2024 \quad(mod \; x^{64}+2024)$

所以其实也就略微变了点样子，这个环中具有的性质是：

$x^{64+i} = -2024x^{i} \quad(mod \; x^{64}+2024)$

所以对于该环中的多项式ab相乘得到c的过程，可以写作如下矩阵：

$(a_0,a_1,a_2,...a_{n-1}) \left( \begin{matrix} b_0 &b_1 &b_2 &\cdots &b_{n-1}\\ -2024b_{n-1}&b_0 &b_1 &\cdots &b_{n-2}\\ -2024b_{n-2}&-2024b_{n-1}&b_0 &\cdots &b_{n-3}\\ \vdots &\vdots &\vdots&\ddots &\vdots\\ -2024b_1 &-2024b_2 &-2024b_3 &\cdots &b_0\\ \end{matrix} \right) = (c_0,c_1,c_2,...c_{n-1})$

到这里我们就完成了该环下多项式的矩阵构建。

格攻击

其实只要能把矩阵造出来，那么在网上找一个RLWE的脚本并把矩阵换成上面这个，那么已经可以做出题目了。不过为了wp完整性还是简单说一下构造格的思路。我们知道对于题目中128bit的模素数p而言，E和S都是系数相当小的多项式，因此我们构造格的目的是在目标向量中找到他们。

为此我们可以把多项式乘法写成下面这样：

$E = AS - B$

然后就是用刚才的矩阵来造格：

$\left( \begin{matrix} p\\ &p\\ &&p\\ &&&\cdots\\ &&&&p\\ a_0 &a_1 &a_2 &\cdots &a_{n-1} &1\\ -2024a_{n-1}&a_0 &a_1 &\cdots &a_{n-2} &&1\\ -2024a_{n-2}&-2024a_{n-1}&a_0 &\cdots &a_{n-3} &&&1\\ \vdots &\vdots &\vdots&\ddots &\vdots &&&&\cdots\\ -2024a_1 &-2024a_2 &-2024a_3 &\cdots &a_0 &&&&&1\\ b_0 &b_1 &b_2 &\cdots &b_{n-1}&&&&&&1\\ \end{matrix} \right)$

这个格具有的线性关系是：

$(k_0,k_1,k_2,...k_{63},s_0,s_1,s_2,...s_{63},1) \left( \begin{matrix} p\\ &p\\ &&p\\ &&&\cdots\\ &&&&p\\ a_0 &a_1 &a_2 &\cdots &a_{n-1} &1\\ -2024a_{n-1}&a_0 &a_1 &\cdots &a_{n-2} &&1\\ -2024a_{n-2}&-2024a_{n-1}&a_0 &\cdots &a_{n-3} &&&1\\ \vdots &\vdots &\vdots&\ddots &\vdots &&&&\cdots\\ -2024a_1 &-2024a_2 &-2024a_3 &\cdots &a_0 &&&&&1\\ b_0 &b_1 &b_2 &\cdots &b_{n-1}&&&&&&1\\ \end{matrix} \right) = (e_0,e_1,e_2,...e_{63},s_0,s_1,s_2,...s_{63},1)$

前面的ki是因为我们的环还需要对多项式的所有系数模p，所以所有系数求和模p后展开的等式中都含有一个kip。

然后对这个格做LLL就能在第一行找到我们的目标向量了，取中间的64个数字，也就得到flag的全部字符。

exp：

from Crypto.Util.number import *

n = 64
A = [203211966212120647994404162543901058385, 113998159211311856163959557092243561040, 300945935078651395200612763362025786190, 289539358962072307485802285781112184506, 266860644401078099268835882620812059236, 109469988130078797414202659254940150397, 142193430695353860553837582452159920561, 163603443131512016589524436620766900399, 125570052004030843134707673404921516235, 289517595415670285587801685152176297797, 260336477592153246815046507549532230446, 89128330175853905837766718032373473126, 187717315035064338496744033397006646838, 47398231438108384695170959715078016751, 320133498675264306580441374518511607677, 289224545427213583554005441616103706530, 48124450498844786580485017131751952117, 139700877104641187048620578708689412417, 71574579434689200165233820726593943746, 138252394765364749010226318178055019086, 261521192680609185598298661488532314373, 226827408720691280529315243806063440819, 312302166514031202715929873278517388968, 41543713499646037109947736777306720313, 265649922622063773566846630839697709881, 243184423040946982395304999253912592156, 206198258022435934039803402480943364253, 26031203447491686152181680360833340987, 267200487804167757054737887061948559784, 301825292179107181769802726785989059100, 245678367957552191949253880949910260990, 171086126608355874606827637031412493750, 238890683861901290139689496391030872360, 22845910272546674819720769022817968767, 28421978727921425902205492605476665131, 171865962533483544755013698922220144571, 133361830829435140268114465077140337526, 86265129464226210912927536339928098681, 68669331909862762270788724935161403154, 201866646039120111937128925580825280486, 13363589230429215865126757180274178298, 17909430443917365585897023486940736171, 91757667623716596753047172893731203404, 46825614193892927425213536328954419018, 131552079476235333764480742173849445520, 235812708672214623030453261917981487844, 128419026868422646823814506658958018620, 165071194644940049087362229894395125949, 119007848732714973887391773573107966930, 142175857554093924103634649494868118501, 324116975329566500720942384202511507819, 145202961579339260969095793970625895397, 302068925092915352636494174062039213344, 204865812301701145536309778960425467197, 73204183646529021271666811846606597696, 305266620775559116657495389805588046145, 38573243820497560644612322159835262762, 204132117511623685134894865125985283485, 152661573492853637425833316355962196973, 234147606390346795925961511757446390699, 101214795511329059676976012743816028858, 45259554101612024332508390665659000501, 69808091348685800959727855379331581323, 96236770545429224235813571394198156104]
B = [122276244512812151700561410687880152355, 288902265068638112029210922418017307765, 227157280930411828282688954386270375417, 51392889392439935890454046852827718770, 107818090106926819686128970258855341987, 39797693303511873260100821082668360148, 165165311283389310714977999739406590465, 145742713856100761940986808065029032102, 85681122792038178595571398323505588215, 161750232371529874705027252096297284499, 65492947650590100527727115268504178500, 158980937836523416847183159463389719119, 217622237154991741032187619647917235486, 214403448117831129512734472087177528755, 7203970244866082501778704003244517036, 209327947737263058848347484690330837593, 261471938052725575109694161428073566879, 290548445194039386389333379248698464710, 786777047021934678707520080022646500, 181116047323074255804762916647191259040, 321394759425138484862188864303222149962, 172828377940330639355360387538637264455, 66514389687485973164456706712404934406, 123351805496712587796702291879739918777, 52527849016391552904401277415521541344, 269082045250550515743652451127140175208, 46611178931314336386280465499464556662, 306738233577541073584072095728624359658, 27700046031756446145225137030746217892, 90225963569273234686624144350335934112, 67692467833088163585206113599832005433, 323500338166210082579512376483956531150, 268393735497552347113220159171930201434, 303137349721700995847836323480358301717, 37409490969034515063902941681541879806, 89987553043378360059649171549894177100, 177195833588614025644477178454034861283, 186453862621405866128018280976135392700, 134539827243365382868881776050914249090, 174423939567752183215031097600196039560, 141295420547653230540490506885038874517, 71077155156144579112947495766255667953, 219294250229364145810766028169964010349, 32511078113518753980651829431342417337, 303329577727497287329206502612155346064, 90557253357868638265309134765551619996, 274174517174776162629592599514881337711, 49932861529770838835799830915660452043, 12677314962488846037929508134986771433, 234965385179859810854399287906068885976, 11962701379314564572722140202812617562, 315105728460289255044517314167781474357, 92397698128764550243762952707724608359, 79161472796010129344236399474925315198, 8230717415162461432383488082982662910, 187550346095617606538292501947907284159, 111838535125019998906719357578490542024, 127632981408215865540832181515313916183, 77787230784265032836219137545199240126, 209675082880646980235572000733260128373, 318088800052782828672155510824979199450, 197936332876846440605381880211398578620, 163607618093826671398256369217224613243, 325974106851521509536970685901401508674]
p = 330464659390823375471800230370495966901

#part1 construct matrix of poly_mul
poly_mul_mat = Matrix(ZZ,n,n)
for i in range(n):
    for j in range(i+1):
        poly_mul_mat[j,i] = A[i-j]
    for j in range(n-i-1):
        poly_mul_mat[j+i+1,i] = A[-(j+1)]*(-2024)


#part2 construct Lattice of RLWE
I = identity_matrix(n)
B_mat = Matrix(ZZ,B)
O = diagonal_matrix([0]*n)
O_vec = Matrix(ZZ,1,n)
O_vec_T = Matrix(ZZ,n,1)
L = block_matrix(ZZ,[[p*I,O,0],[poly_mul_mat,I,O_vec_T],[B_mat,O_vec,1]])


#part3 LLL to get s and get flag
res = L.LLL()[0]
s = res[n:2*n]
for i in s:
    print(chr(abs(i)),end = "")

#NSSCTF{U_c4n_5olv3_th1s_pr0b!em_0nce_u_kn0W_M4trix_0f_Polymu1}

题目本身如果了解RLWE的话就很基础，主要是想通过wp帮助一些不太了解多项式乘法的cryptoer找找构建成矩阵的思路，从而不再只是调脚本跑。

New Year Ring2

题目描述：

新年换个新新环！

题目：

from Crypto.Util.number import *
from random import *
from secret import flag

p = getPrime(128)
n = 64
assert len(flag) < n

PRp.<x> = PolynomialRing(Zmod(p))
f = x^n+2*x^3+0*x^2+2*x+4  #welcome to 2024!
PR = PRp.quo(f)
assert f.is_irreducible()

A = [randint(0, p) for i in range(n)]
E = [randint(-4, 4) for i in range(n)]
S = [ord(flag[i]) for i in range(len(flag))]

B = PR(A)*PR(S)+PR(E)
print(A)
print(B.list())
print(p)

#[25628433222756085994492259068849402115, 108192689210265022288173745176216677895, 85974352459523213168503152436203993854, 41828313114844948099739205193013146660, 15961445864161535368425735570577871568, 59860624089211511801244965491114405123, 72238114736535717286419734164194491146, 1731419769773538054984020741260144321, 110926179088722293171658261432626666958, 4729059639835826882559436203284470206, 168495809056757598731123948067040373565, 3338360642630078653320363127167526308, 19389936220034072874232261675901806153, 10438117635879553768611012406691341169, 153667038046207304584441437937384897775, 72166665774655568880543097047667804863, 95319528381704092095798376951073542165, 62898039808274250589921375492358418705, 38256076367009076141369526506747299307, 116682168147974451260364221046574659055, 26917522774848180141649752130328445540, 155767907175579627310170473659502971153, 77475859845928815191730640478115081925, 70014064310214050035280946814599808820, 85993451838284022745989979544017241858, 1559588202521630621698182776746048258, 52424771201426327411234245307354332594, 92380990205273211168316314938871853614, 55868954214861940284812204603983552046, 86766496415006406161245997036503548760, 65631024912623216715877274133399692328, 165552413066518454864366169079315182837, 27090806019996818214310558040178209015, 24884235560487406082425405304334927881, 167131388381252997695719535111304864318, 84309157064049564271714180786273613498, 53226032826639984552629376026393806036, 10043888404273006035387494091731007691, 12579929759225042382751229048796566699, 166363316914893642035801926729741157934, 37839073681950914796852925854557791313, 59823734019834883911363191453005985507, 72713054697995652053446065501322532087, 7355549923971285393506940087861413681, 21734747677920938504945342916533076569, 93933129166049277428941778125233010374, 58955842096425290408052247755008181893, 35959399375270454336325579486716264076, 134512300913738209016228764504703580317, 156877088942396466398635185398252103142, 104513294126348280186621088034948750337, 58139022317938952038809444482141783106, 98565612260156356115401166878515345986, 114416081175175578305854221578018095237, 22901750234260702478992290068664968479, 156611313609023033314989985233189973832, 125083132555321363078288077242345281728, 41404163164349704408020008746598776378, 148785934103979787297708145558354509586, 60576000474984112015781658795707443603, 157378782433123699827402744836263199181, 115808625117495689666174307128964343007, 55532885470248050887252206269085843644, 167226824329071601899518640284153209079]
#[125436276837023032466255967451858640606, 144448119937248956307846718982491347769, 162306129951573761575068204811168998078, 83181011846487027653033036479190112408, 40957533970438134530667298492545012058, 39781894692503876914564462045404705807, 164051006333092368306831348749408921012, 111012742481005666423330275146981180733, 7715720858029882578293974044643808669, 157677217515339873901600902409190036650, 47743593975916243882559558507891093023, 157986164305142738632123943371346719550, 127635891927296917312348404019956617317, 29559276398124624593609203169860820474, 65960871111768788316941346555260753893, 168042316135611110131429808009369471733, 1212659292467585393525194729053590464, 131142075720852427381782478157244639696, 102842995705164719704337121568124710266, 34358829636338044181518280022135929086, 46061675284276849395800943167734760351, 135977825342856793359560567810384022667, 79194609568617048147045548433187673199, 3676419995870098657902754244090307337, 129102404404523795672123957629514020212, 132931883751740337774987369503377603250, 157631873978881249131112881234813720862, 25064634967243118171242164160769943822, 90201135758213533081777343764941590513, 28708219563163506588485189820706388938, 56568253458138625936076514562071708932, 6347413009696777418004642228340087455, 142708918733729617152197380466325161544, 90675635242552386205397936839615479057, 92501808867676816791538575898905495372, 119574898086174634261072854178847743198, 109965735435324316785759245560872940757, 88027969746581556885954470651939385855, 134321591115155640446804238393795645472, 138737181251155600814378949277591209336, 99644145229459444132485749993357552167, 72102411291892187794699247448258325603, 83762370748394317206974170435605895442, 50088402451174667055894866569295371337, 151985189458457003469569692195947019009, 94074842589490698882361618773816024181, 73064286019059695311967281427732071049, 15926695040044471692620032927734856548, 92040182094543438421700664648795356800, 72067816134410856572981520568082148623, 51543145349488111975169803932104264498, 133476358234399233123899184886685568681, 138871089323661273034769987507240180967, 135182088478518211398715618356312799892, 142132493504501637417871042380487888261, 152821195684002682180600788766787854997, 108605984719600234041614912160255546443, 107009285527858918462712915168386920973, 142315287684855833566016316758770217595, 120564701831156855156008640956601967150, 76342952544707200039421682949094541165, 1616883292120605398623492917180224681, 114803483209077151333130433872010751344, 59602734024539592667147877839382863851]
#p = 171384865635734387982308861436753436427

这一题是上一题的加强，相对于上一题来说，本题又把商环更换为了：

$\frac{Z_p[x]}{x^{64}+2x^3+2x+4}$

但是目标是不变的，仍然是要利用s和e系数较小这一点，去设法构造格进行规约。

要构造出格就要先构造出商环中多项式乘积的矩阵表示。本题的难点也就在于，商环中现在不仅存在64次项和常数项，还存在一次项和三次项，那么该怎么去构造这个矩阵呢？

我们仍然是利用如下一点：

$x^{64} = -(2x^3+2x+4) \quad(mod\;x^{64}+2x^3+2x+4)$

所以有：

$x^{64+i} = -(2x^{3+i}+2x^{1+i}+4x^{i}) \quad(mod\;x^{64}+2x^3+2x+4)$

那么对于之前举的多项式a乘b得到c的例子，我们假设ab乘完后先不模x^64+2x^3+2x+4，记这个乘积为d，那么d就有0到2x63次项。而由于上面推得的这个商环下多项式的同余关系，对于c中的各项系数来说，其0次项的系数应该有d中的0次项以及64次项的参与，其1次项应该有d中的1次项、64次项以及65次项参与，其2次项应该有d中的2次项、65次项以及66次项参与，其3次项应该有d中的3次项、64次项、66次项、67次项参与，……以此类推。

但是有一个需要注意的问题是，右边由于存在3+i和1+i项，所以有些项可能需要多次模，比如对于i=61就有：

$x^{64+61} = -(2x^{64}+2x^{62}+4x^{61}) \quad(mod\;x^{64}+2x^3+2x+4)$

右边的x^64就又需要展开，得到的最终式子是：

$x^{64+61} = -(2(-(2x^3+2x+4))+2x^{62}+4x^{61}) = -2x^{62}-4x^{61}+4x^3+4x+8$

可以注意到，因为最高次项也只会有126次，所以只有i=61、62的时候需要进行二次模运算，不妨把i=61、62的情况一并列出：

$x^{64+61} = -2x^{62}-4x^{61}+4x^3+4x+8$ $x^{64+62} = -2x^{63}-4x^{62}+4x^4+4x^2+8x$

所以次数为0到4的项的系数还需要额外调整一下。那么对于这道题中的S乘A的过程，就可以构造出这一次的多项式乘积矩阵如下：

$(s_0,s_1,s_2,s_3,...s_{63}) \left( \begin{matrix} a_0 &a_1 &a_2 &a_3&\cdots &a_{63}\\ -4a_{63}&a_0-2a_{63} &a_1 &a_2-2a_{63}&\cdots &a_{62}\\ -4a_{62}&-4a_{63}-2a_{62} &a_0-2a_{63} &a_1-2a_{62}&\cdots &a_{61}\\ -4a_{61}&-4a_{62}-2a_{61} &-4a_{63}-2a_{62} &a_0-2a_{63}-2a_{61}&\cdots &a_{60}\\ \vdots &\vdots &\vdots&\vdots&\ddots &\vdots\\ -4a_1+8a_{62} &-4a_2-2a_1+4a_{62} +8a_{63} &-4a_3-2a_2+4a_{63} &-4a_4-2a_3-2a_1+4a_{62}&\cdots &a_0-2a_{63}-2a_{61}\\ \end{matrix} \right)$

造的格子就和上一道题目是一样的了，把矩阵换成上面这个就行。

exp：

from Crypto.Util.number import *
from random import *

n = 64
A = [25628433222756085994492259068849402115, 108192689210265022288173745176216677895, 85974352459523213168503152436203993854, 41828313114844948099739205193013146660, 15961445864161535368425735570577871568, 59860624089211511801244965491114405123, 72238114736535717286419734164194491146, 1731419769773538054984020741260144321, 110926179088722293171658261432626666958, 4729059639835826882559436203284470206, 168495809056757598731123948067040373565, 3338360642630078653320363127167526308, 19389936220034072874232261675901806153, 10438117635879553768611012406691341169, 153667038046207304584441437937384897775, 72166665774655568880543097047667804863, 95319528381704092095798376951073542165, 62898039808274250589921375492358418705, 38256076367009076141369526506747299307, 116682168147974451260364221046574659055, 26917522774848180141649752130328445540, 155767907175579627310170473659502971153, 77475859845928815191730640478115081925, 70014064310214050035280946814599808820, 85993451838284022745989979544017241858, 1559588202521630621698182776746048258, 52424771201426327411234245307354332594, 92380990205273211168316314938871853614, 55868954214861940284812204603983552046, 86766496415006406161245997036503548760, 65631024912623216715877274133399692328, 165552413066518454864366169079315182837, 27090806019996818214310558040178209015, 24884235560487406082425405304334927881, 167131388381252997695719535111304864318, 84309157064049564271714180786273613498, 53226032826639984552629376026393806036, 10043888404273006035387494091731007691, 12579929759225042382751229048796566699, 166363316914893642035801926729741157934, 37839073681950914796852925854557791313, 59823734019834883911363191453005985507, 72713054697995652053446065501322532087, 7355549923971285393506940087861413681, 21734747677920938504945342916533076569, 93933129166049277428941778125233010374, 58955842096425290408052247755008181893, 35959399375270454336325579486716264076, 134512300913738209016228764504703580317, 156877088942396466398635185398252103142, 104513294126348280186621088034948750337, 58139022317938952038809444482141783106, 98565612260156356115401166878515345986, 114416081175175578305854221578018095237, 22901750234260702478992290068664968479, 156611313609023033314989985233189973832, 125083132555321363078288077242345281728, 41404163164349704408020008746598776378, 148785934103979787297708145558354509586, 60576000474984112015781658795707443603, 157378782433123699827402744836263199181, 115808625117495689666174307128964343007, 55532885470248050887252206269085843644, 167226824329071601899518640284153209079]
B = [125436276837023032466255967451858640606, 144448119937248956307846718982491347769, 162306129951573761575068204811168998078, 83181011846487027653033036479190112408, 40957533970438134530667298492545012058, 39781894692503876914564462045404705807, 164051006333092368306831348749408921012, 111012742481005666423330275146981180733, 7715720858029882578293974044643808669, 157677217515339873901600902409190036650, 47743593975916243882559558507891093023, 157986164305142738632123943371346719550, 127635891927296917312348404019956617317, 29559276398124624593609203169860820474, 65960871111768788316941346555260753893, 168042316135611110131429808009369471733, 1212659292467585393525194729053590464, 131142075720852427381782478157244639696, 102842995705164719704337121568124710266, 34358829636338044181518280022135929086, 46061675284276849395800943167734760351, 135977825342856793359560567810384022667, 79194609568617048147045548433187673199, 3676419995870098657902754244090307337, 129102404404523795672123957629514020212, 132931883751740337774987369503377603250, 157631873978881249131112881234813720862, 25064634967243118171242164160769943822, 90201135758213533081777343764941590513, 28708219563163506588485189820706388938, 56568253458138625936076514562071708932, 6347413009696777418004642228340087455, 142708918733729617152197380466325161544, 90675635242552386205397936839615479057, 92501808867676816791538575898905495372, 119574898086174634261072854178847743198, 109965735435324316785759245560872940757, 88027969746581556885954470651939385855, 134321591115155640446804238393795645472, 138737181251155600814378949277591209336, 99644145229459444132485749993357552167, 72102411291892187794699247448258325603, 83762370748394317206974170435605895442, 50088402451174667055894866569295371337, 151985189458457003469569692195947019009, 94074842589490698882361618773816024181, 73064286019059695311967281427732071049, 15926695040044471692620032927734856548, 92040182094543438421700664648795356800, 72067816134410856572981520568082148623, 51543145349488111975169803932104264498, 133476358234399233123899184886685568681, 138871089323661273034769987507240180967, 135182088478518211398715618356312799892, 142132493504501637417871042380487888261, 152821195684002682180600788766787854997, 108605984719600234041614912160255546443, 107009285527858918462712915168386920973, 142315287684855833566016316758770217595, 120564701831156855156008640956601967150, 76342952544707200039421682949094541165, 1616883292120605398623492917180224681, 114803483209077151333130433872010751344, 59602734024539592667147877839382863851]
p = 171384865635734387982308861436753436427


#part1 construct matrix of poly_mul
poly_mul_mat = Matrix(ZZ,n,n)

#first column
poly_mul_mat[0,0] = A[0]
for i in range(1,n):
    poly_mul_mat[i,0] = -4*A[n-i]
#handle special twice mod 
poly_mul_mat[-1,0] += 8*A[-2]
poly_mul_mat[-2,0] += 8*A[-1]

#2-3 column
for col in [1,2]:
    poly_mul_mat[col,col] = A[0] - 2*A[n-1]
    for i in range(col):
        poly_mul_mat[i,col] = A[col-i]
    for i in range(n-1-col):
        poly_mul_mat[col+i+1,col] = -4*A[n-1-i]-2*A[n-1-i-1]
#handle special twice mod 
poly_mul_mat[-1,1] += 4*A[-2] + 8*A[-1]
poly_mul_mat[-2,1] += 4*A[-1]
poly_mul_mat[-1,2] += 4*A[-1]

#rest column
for col in range(3,n):
    poly_mul_mat[col-2,col] = A[2] - 2*A[n-1]
    poly_mul_mat[col-1,col] = A[1] - 2*A[n-2]
    poly_mul_mat[col,col] = A[0] - 2*A[n-1] - 2*A[n-3]
    for i in range(col-2):
        poly_mul_mat[i,col] = A[col-i]
    for i in range(n-1-col):
        poly_mul_mat[col+i+1,col] = -4*A[n-1-i]-2*A[n-1-i-1]-2*A[n-1-i-3]
#handle special twice mod 
poly_mul_mat[-1,3] += 4*A[-2]
poly_mul_mat[-2,3] += 4*A[-1]
poly_mul_mat[-1,4] += 4*A[-1]


#part2 construct Lattice of RLWE
I = identity_matrix(n)
B_mat = Matrix(ZZ,B)
O = diagonal_matrix([0]*n)
O_vec = Matrix(ZZ,1,n)
O_vec_T = Matrix(ZZ,n,1)
L = block_matrix(ZZ,[[p*I,O,0],[poly_mul_mat,I,O_vec_T],[B_mat,O_vec,1]])


#part3 LLL to get s and get flag
res = L.LLL()[0]
s = res[n:2*n]
for i in s:
    print(chr(abs(i)),end = "")


#NSSCTF{M4st3r_0F_RLWE_h3r3_15_ur_flag_4nD_HHHHappy_niu_Ye4r!!}

New Year Ring3

题目描述：

1	新年用个新新新新环！

题目：

from Crypto.Util.number import *
from random import *
from secret import flag

p = getPrime(128)
n = 64
assert len(flag) < n

PRp.<x> = PolynomialRing(Zmod(p))
newyear = [2,0,2,4]
f = x^n
for i in range(n):
    f += newyear[i%4]*x^(n-1-i)   #welcome to 2024!
PR = PRp.quo(f)
assert f.is_irreducible()

A = [randint(0, p) for i in range(n)]
E = [randint(-4, 4) for i in range(n)]
S = [ord(flag[i]) for i in range(len(flag))]

B = PR(A)*PR(S)+PR(E)
print(A)
print(B.list())
print(p)

#[143895536039223361852265879930678271849, 49941095619845369403633015749131244252, 192366807276439803341529420280624695341, 41863179329950350668896955448215016801, 161730900763954941459384930538350726304, 69486722690005239063204459423772119076, 150044605995739190031133614780160002164, 53617544566841857383903597080623109339, 74625820568619243297350181792710531670, 16380616502578067837931320551193635969, 161905270710745874415457791187229895491, 60615195134615631027916010677640865675, 160490605829184543601552626825699212302, 67566984475203250552779752218068594160, 213285653211278131505736720165333128065, 64852378214458505102852766762259296220, 127863063181868054387649888847647635563, 173388212610482051840613449798996257379, 107853129453974811439304180468226801619, 47026991726695830686352132714620786077, 54537407094343620242102574881749270054, 213117990243770129927508589374671252215, 188551573436848023902527678127834115095, 184904756222053551643771035280489901913, 130154717708566694574065576508622379407, 169935928816833755787895658897579592244, 25127997681478110567876718932464424139, 66241086523494222064942298262635441275, 128384348198631966247204855175670185827, 186534789734452323940160584274797242101, 44113757786219743282268996106377142498, 161464089943212437590741012855856579087, 152978274982120638112396394811148002893, 127858672640521604574047701048286112335, 24811959746896810879635351294335540800, 139884017165706571446169150175115903276, 162069295856137595644855638161429085830, 103852979898094376585707063387003994190, 209853862047034349714977775246731397993, 83875540721706520814802129116239183141, 229717680288888669127660062951596981300, 142905448436402318840598200380283379791, 97701946983539136207969604175005004177, 132882918810599573425074347748636321411, 30946979906897798248175975370883897061, 227445609344085479411697428271056340360, 226861499760726945354933277553812121082, 34610454530275079356327169999644151033, 86543487884993671802260662621113434518, 193748181739943346975874601639150010426, 34955296746796322689176100212054938608, 78982586205793555689802056285642735691, 3417188406740628320649576312400181913, 165141388407797054166867506278447838336, 12695265941766745754277957144871301850, 89458008041873757788350494973818918496, 17544328835809254417440184162473311528, 17809092337865928270441021151091911120, 190539046594231331045902135957952644092, 54013202950149354717829653296038417693, 182140149560821210676566057705914354798, 182590162902622112992977612842205026523, 226186981126958513892204825722664037031, 96763448317215723992226901770790799160]
#[146131953632371057251386640770029761962, 155126848145561802955686124994407020596, 215548579819339372855889610814620506576, 215378077144333849353671692326217769974, 211651696346814349480371028078398365850, 56211588439881618182356345926007014351, 35792916285189253601060073066755768657, 193834084101163540069238791365615525212, 64185605303590514314207911465024315433, 74011476974910970618385371699236712496, 144080173424901828501825948809304329878, 50478515840382641218068722055014699097, 61424373096897526822902957616641049161, 228135094283701120116040034916450645966, 173676278129085855942014338366292660640, 4958486587405211188374567586180119556, 107653280004443417845206647750419894242, 227948848364624440330554299487592496262, 103344313582462128597769184556262118266, 179090340541635393147453223953633783366, 91157025540035569434535505051126504071, 218301646561306199078249711983197566905, 207984369886452772406666980534904709935, 84848453635637121750244379243550315275, 70455676155616420940430093468129934421, 112082679346753821742720835769195197209, 100096437088582331947465760446007491622, 23148318752965414660522976895342715316, 175024877143863308838121164427112023613, 65455761812920253083377790817920776573, 80719540338474829645398437070034720831, 30265965699771257065456865006701716765, 65059939935789446486144438246062876092, 73412866905686210879034022846184532326, 15496701729614207294798217895713334887, 187927627267834618400725936475600101114, 51596647781094949272750319452641626273, 34936140628305933632043160171328035222, 227636764157434931002269545814362460674, 40310006070105509297521946935690917605, 158199753843142436703851148792841271128, 62042757128547429572711130709028563495, 4994577444829057554913018889328955170, 212120189443587994433256482180523602261, 217895194863190305322702282626368171628, 14347476896110839167629995111874858945, 92969919157086783529099464146480743366, 98421412347381684974090776331896675353, 7670925013164447091797082877392123056, 92948133844692458289793766569490521009, 37843417064278243200690200946062028300, 73246898716604229152337274167003969610, 48576361100747286180365305580004800549, 226777738621945748117749363525255463543, 202653365491161565340111352416610858743, 81343653066789166205981715378171248137, 43128791749740623981661146675626160300, 51978531727836859802588862475571492852, 158673579466427370117557321982403789903, 154526278040551924441198621574328917110, 23520842615720508371775640194790884675, 76597771060168857457987619277375824543, 229138699410621489832761240581614631878, 62849396773221525801893336014307910648]
#229934842599910967421870245339955481121

本题仍然基于RLWE，只是又将商环变换成：

$\frac{Z_p[x]}{x^{64}+2x^{63}+2x^{61}+4x^{60}+...++2x^3+2x+4}$

似乎还是可以用刚才构造矩阵的思路去解，但是想一想就会发现，这里由于模多项式又多了非常多项，所以会变得极其麻烦。

因此，这一个题是想将商环下多项式乘法的矩阵表示推广到一个更一般的形式，也就是说，如果能找到一个方法，使得对任何商环中的多项式乘法都可以用一个统一的算法来表示矩阵的话，那么其实三个题目都能一步到位。

所以接下来就是阐述怎么构造出这样的矩阵。

首先，仍然接续前文的思路。对于一个商环的模多项式，设其最高次项次数为n，那么商环中的所有多项式就都可以用一个长度为n的向量表示，向量中的每一个值分别表示多项式0到n-1次项的系数。由于我们想得到的是一般形式的商环下的多项式乘法矩阵，因此我们下面将都用一个抽象出的例子来说明。我们就假设，我们要计算的是多项式a和多项式b在模多项式v下的乘积c，其中v是n次，那么就可以把这四个多项式记为：

$a = (a_0,a_1,a_2,a_3,...a_{n-1})$ $b = (b_0,b_1,b_2,b_3,...b_{n-1})$ $v = (v_0,v_1,v_2,v_3,...v_{n-1},1) \quad (默认模多项式为首一多项式)$ $c = (c_0,c_1,c_2,c_3,...c_{n-1})$

而接下来的核心思路是，将商环下的多项式乘法拆分成两步，并分别用矩阵乘法表示：

a和b相乘，得到多项式d
d模v，得到c

然后将两步矩阵相乘，就得到我们需要的最终矩阵——商环下多项式乘法的表示矩阵。其中d是一个最高次项可以达到2n-2次的一个多项式，因此可以用向量写作：

$d = (d_0,d_1,d_2,d_3,...d_{n-1},d_n,...,d_{2n-2})$

那么接下来就分步阐述怎么构造矩阵。

a和b相乘，得到多项式d

由于不需要进行模多项式运算，所以这一步其实非常简单，对于目标向量d中每个值对应的次数，我们只需要将所有能得到这个次数的系数乘积求和即可。也就是说矩阵乘法可以表示成：

$(a_0,a_1,a_2,...a_{n-1}) \left( \begin{matrix} b_0 &b_1 &b_2 &\cdots &b_{n-1}&&\\ &b_0 &b_1 &\cdots &b_{n-2}&b_{n-1}&\\ &&b_0 &\cdots &b_{n-3}&b_{n-2}&b_{n-1}\\ &&&\ddots &\vdots&\vdots&\vdots&\ddots\\ &&&&b_0&b_1&b_2&\cdots&b_{n-1}\\ \end{matrix} \right) = (d_0,d_1,d_2,d_3,...d_{n-1},d_n,...,d_{2n-2})$

为了更方便说明，把向量和矩阵的大小都标识出来会更好：

$(a_0,a_1,a_2,...a_{n-1})_{1\times n} \left( \begin{matrix} b_0 &b_1 &b_2 &\cdots &b_{n-1}&&\\ &b_0 &b_1 &\cdots &b_{n-2}&b_{n-1}&\\ &&b_0 &\cdots &b_{n-3}&b_{n-2}&b_{n-1}\\ &&&\ddots &\vdots&\vdots&\vdots&\ddots\\ &&&&b_0&b_1&b_2&\cdots&b_{n-1}\\ \end{matrix} \right) _{n\times (2n-1)} = (d_0,d_1,d_2,d_3,...d_{n-1},d_n,...,d_{2n-2})_{1\times (2n-1)}$

那么接下来我们的目标是，将得到的d向量：

$(d_0,d_1,d_2,d_3,...d_{n-1},d_n,...,d_{2n-2})_{1\times (2n-1)}$

进行模v，从而得到最终的多项式c，将这个过程也表示成矩阵乘法。

d模v，得到c

首先对于d中前n项来说(也就是0到n-1次项)，表示到最终的向量c是很轻松的，由于次数低，不需要模多项式，所以只需要将对应数值加到c中对应项中就可以，也就是造一个单位矩阵即可。

而较难处理的是d中超过了n-1次的项，因为他们要进行模v的操作。而对于这里我们处理的手段仍然是构造模多项式中的同余方程：

$x^{n} = -(v_{n-1}x^{n-1}+v_{n-2}x^{n-2}+...+v_{2}x^{2}+v_{1}x^{1}+v_0) \quad(mod\;v)$

也就有：

$x^{n+i} = -(v_{n-1}x^{n-1+i}+v_{n-2}x^{n-2+i}+...+v_{2}x^{2+i}+v_{1}x^{1+i}+v_0x^i) \quad(mod\;v)$

而又因为d中最高也就只有2n-2次项，所以其中i的范围是：

$0,1,2,...,n-3,n-2$

可以预见的是，由于高次项会存在多次使用同余方程降次，因此我们需要从i=0开始，逐步将x^(n+i)均转化成一个次数在0到n-1的多项式并求出系数，加到最终多项式c的对应项的系数中。

i=0时，显然直接利用刚才的同余方程就可以得到每个次数的项前需要加的系数：

$x^{n} = -(v_{n-1}x^{n-1}+v_{n-2}x^{n-2}+...+v_{2}x^{2}+v_{1}x^{1}+v_0) \quad(mod\;v)$

而i=1时，右侧的同余方程又会出现需要降次的x^n次方项，如下：

$x^{n+1} = -(v_{n-1}{\color{red}x^{n}}+v_{n-2}x^{n-1}+...+v_{2}x^{3}+v_{1}x^{2}+v_0x) \quad(mod\;v)$

好像不太好处理，但其实想一想，不就是把刚才求过的n次项降次后得到的系数代入这里不就好了吗？也就是：

$x^{n+1} = -(v_{n-1}{\color{red}(-(v_{n-1}x^{n-1}+v_{n-2}x^{n-2}+...+v_{2}x^{2}+v_{1}x^{1}+v_0)}+v_{n-2}x^{n-1}+...+v_{2}x^{3}+v_{1}x^{2}+v_0x) \quad(mod\;v)$

然后展开运算出各项系数即可。

而继续看i=2的形式，右侧会得到：

$x^{n+2} = -(v_{n-1}{\color{red}x^{n+1}}+v_{n-2}{\color{red}x^{n}}+...+v_{2}x^{4}+v_{1}x^{3}+v_0x^2) \quad(mod\;v)$

可以发现红色项我们均计算过了，我们只需要继续刚才的过程：代入已经算出的式子并展开计算。这也就是一个迭代的过程，一直到：

$x^{n+n-2} = -(v_{n-1}{\color{red}x^{n+n-3}}+v_{n-2}{\color{red}x^{n+n-4}}+...+v_{2}{\color{red}x^{n}}+v_{1}x^{n-1}+v_0x^{n-2}) \quad(mod\;v)$

计算就彻底结束了。

而要构造矩阵，只需要将d中的大于等于n次方的每一项系数乘以刚才对应展开形式中的对应项系数，就可以得到矩阵中对应的行，然后接在刚才的单位矩阵下即可。也就是说这一步的矩阵应该长下面这个样子：

$\left( \begin{matrix} 1\\ &1\\ &&1\\ &&&\ddots\\ &&&&1\\ r_0&r_1&r_2&\cdots&r_{n-1}\\ s_0&s_1&s_2&\cdots&s_{n-1}\\ \vdots&\vdots&\vdots&\vdots&\vdots\\ t_0&t_1&t_2&\cdots&t_{n-1}\\ \end{matrix} \right) _{(2n-1)\times n}$

其中r、s、t几行是我们计算出的值，这里只是随便用个符号记录，没有特别的意义。

这一步的矩阵也表示完了，然后对这一步的矩阵有：

$(d_0,d_1,d_2,d_3,...d_{n-1},d_n,...,d_{2n-2})_{1\times (2n-1)} \left( \begin{matrix} 1\\ &1\\ &&1\\ &&&\ddots\\ &&&&1\\ r_0&r_1&r_2&\cdots&r_{n-1}\\ s_0&s_1&s_2&\cdots&s_{n-1}\\ \vdots&\vdots&\vdots&\vdots&\vdots\\ t_0&t_1&t_2&\cdots&t_{n-1}\\ \end{matrix} \right) _{(2n-1)\times n} = (c_0,c_1,c_2,c_3,...c_{n-1})_{1\times n}$

综合表示

我们只需要将两个矩阵乘起来就得到我们需要的一般意义下的多项式乘法卷积矩阵了：

$L = \left( \begin{matrix} b_0 &b_1 &b_2 &\cdots &b_{n-1}&&\\ &b_0 &b_1 &\cdots &b_{n-2}&b_{n-1}&\\ &&b_0 &\cdots &b_{n-3}&b_{n-2}&b_{n-1}\\ &&&\ddots &\vdots&\vdots&\vdots&\ddots\\ &&&&b_0&b_1&b_2&\cdots&b_{n-1}\\ \end{matrix} \right) _{n\times (2n-1)} \left( \begin{matrix} 1\\ &1\\ &&1\\ &&&\ddots\\ &&&&1\\ r_0&r_1&r_2&\cdots&r_{n-1}\\ s_0&s_1&s_2&\cdots&s_{n-1}\\ \vdots&\vdots&\vdots&\vdots&\vdots\\ t_0&t_1&t_2&\cdots&t_{n-1}\\ \end{matrix} \right) _{(2n-1)\times n}$

此时就有：

$(a_0,a_1,a_2,...a_{n-1})L= (c_0,c_1,c_2,c_3,...c_{n-1})$

对于这个题目来说，之后就只需要将矩阵代入到RLWE的攻击格中，就可以规约得到需要的向量了。

exp：

from Crypto.Util.number import *

A = [143895536039223361852265879930678271849, 49941095619845369403633015749131244252, 192366807276439803341529420280624695341, 41863179329950350668896955448215016801, 161730900763954941459384930538350726304, 69486722690005239063204459423772119076, 150044605995739190031133614780160002164, 53617544566841857383903597080623109339, 74625820568619243297350181792710531670, 16380616502578067837931320551193635969, 161905270710745874415457791187229895491, 60615195134615631027916010677640865675, 160490605829184543601552626825699212302, 67566984475203250552779752218068594160, 213285653211278131505736720165333128065, 64852378214458505102852766762259296220, 127863063181868054387649888847647635563, 173388212610482051840613449798996257379, 107853129453974811439304180468226801619, 47026991726695830686352132714620786077, 54537407094343620242102574881749270054, 213117990243770129927508589374671252215, 188551573436848023902527678127834115095, 184904756222053551643771035280489901913, 130154717708566694574065576508622379407, 169935928816833755787895658897579592244, 25127997681478110567876718932464424139, 66241086523494222064942298262635441275, 128384348198631966247204855175670185827, 186534789734452323940160584274797242101, 44113757786219743282268996106377142498, 161464089943212437590741012855856579087, 152978274982120638112396394811148002893, 127858672640521604574047701048286112335, 24811959746896810879635351294335540800, 139884017165706571446169150175115903276, 162069295856137595644855638161429085830, 103852979898094376585707063387003994190, 209853862047034349714977775246731397993, 83875540721706520814802129116239183141, 229717680288888669127660062951596981300, 142905448436402318840598200380283379791, 97701946983539136207969604175005004177, 132882918810599573425074347748636321411, 30946979906897798248175975370883897061, 227445609344085479411697428271056340360, 226861499760726945354933277553812121082, 34610454530275079356327169999644151033, 86543487884993671802260662621113434518, 193748181739943346975874601639150010426, 34955296746796322689176100212054938608, 78982586205793555689802056285642735691, 3417188406740628320649576312400181913, 165141388407797054166867506278447838336, 12695265941766745754277957144871301850, 89458008041873757788350494973818918496, 17544328835809254417440184162473311528, 17809092337865928270441021151091911120, 190539046594231331045902135957952644092, 54013202950149354717829653296038417693, 182140149560821210676566057705914354798, 182590162902622112992977612842205026523, 226186981126958513892204825722664037031, 96763448317215723992226901770790799160]
B = [146131953632371057251386640770029761962, 155126848145561802955686124994407020596, 215548579819339372855889610814620506576, 215378077144333849353671692326217769974, 211651696346814349480371028078398365850, 56211588439881618182356345926007014351, 35792916285189253601060073066755768657, 193834084101163540069238791365615525212, 64185605303590514314207911465024315433, 74011476974910970618385371699236712496, 144080173424901828501825948809304329878, 50478515840382641218068722055014699097, 61424373096897526822902957616641049161, 228135094283701120116040034916450645966, 173676278129085855942014338366292660640, 4958486587405211188374567586180119556, 107653280004443417845206647750419894242, 227948848364624440330554299487592496262, 103344313582462128597769184556262118266, 179090340541635393147453223953633783366, 91157025540035569434535505051126504071, 218301646561306199078249711983197566905, 207984369886452772406666980534904709935, 84848453635637121750244379243550315275, 70455676155616420940430093468129934421, 112082679346753821742720835769195197209, 100096437088582331947465760446007491622, 23148318752965414660522976895342715316, 175024877143863308838121164427112023613, 65455761812920253083377790817920776573, 80719540338474829645398437070034720831, 30265965699771257065456865006701716765, 65059939935789446486144438246062876092, 73412866905686210879034022846184532326, 15496701729614207294798217895713334887, 187927627267834618400725936475600101114, 51596647781094949272750319452641626273, 34936140628305933632043160171328035222, 227636764157434931002269545814362460674, 40310006070105509297521946935690917605, 158199753843142436703851148792841271128, 62042757128547429572711130709028563495, 4994577444829057554913018889328955170, 212120189443587994433256482180523602261, 217895194863190305322702282626368171628, 14347476896110839167629995111874858945, 92969919157086783529099464146480743366, 98421412347381684974090776331896675353, 7670925013164447091797082877392123056, 92948133844692458289793766569490521009, 37843417064278243200690200946062028300, 73246898716604229152337274167003969610, 48576361100747286180365305580004800549, 226777738621945748117749363525255463543, 202653365491161565340111352416610858743, 81343653066789166205981715378171248137, 43128791749740623981661146675626160300, 51978531727836859802588862475571492852, 158673579466427370117557321982403789903, 154526278040551924441198621574328917110, 23520842615720508371775640194790884675, 76597771060168857457987619277375824543, 229138699410621489832761240581614631878, 62849396773221525801893336014307910648]
p = 229934842599910967421870245339955481121
n = 64

#part1 construct matrix of poly_mul

#n:The highest degree of a modular polynomial
#v:vector of modular polynomial
#a:vector of a polynomial multiplier

#aim to construct a matrix of c=a*b%v
def construct_poly_mul_mat(n,v,b):
    assert v[-1] == 1 #use this after monic

    #step1 construct a matrix of d=a*b
    mat1 = Matrix(ZZ,n,2*n-1)
    for i in range(n):
        for j in range(n):
            mat1[i,j+i] = b[j] 

    #step2 construct a matrix of c=d%v
    mat2 = Matrix(ZZ,2*n-1,n)
    for i in range(n):
        mat2[i,i] = 1
    for i in range(n,2*n-1):
        for j in range(i-n,n):
            mat2[i,j] = -v[j-(i-n)]
        
        init_row = vector(ZZ,n*[0])
        for j in range(i-n):
            temp = -v[n-1-j]*vector(ZZ,mat2[i-j-1])
            init_row += temp
        for j in range(n):
            mat2[i,j] += init_row[j]   
             
    #step3 multiply them and return
    return(mat1*mat2)

PRp.<x> = PolynomialRing(Zmod(p))
newyear = [2,0,2,4]
f = x^n
for i in range(n):
    f += newyear[i%4]*x^(n-1-i)
v = f.list()
poly_mul_mat = construct_poly_mul_mat(n,v,A)


#part2 construct Lattice of RLWE
I = identity_matrix(n)
B_mat = Matrix(ZZ,B)
O = diagonal_matrix([0]*n)
O_vec = Matrix(ZZ,1,n)
O_vec_T = Matrix(ZZ,n,1)
L = block_matrix(ZZ,[[p*I,O,0],[poly_mul_mat,I,O_vec_T],[B_mat,O_vec,1]])


#part3 LLL to get s and get flag
res = L.LLL()[0]
s = res[n:2*n]
for i in s:
    print(chr(abs(i)),end = "")


#NSSCTF{!!!Hah4H@,H0p3_Y0U_h@ve_fang_In_y0ur_po1Ynomial_5tudY!!}

而这样的通解自然对前面的两题也适用。