Математика

Заметка девятнадцатая. О математике в музыке и докторах философии

Wed, 03 Feb 2021 14:35:35 +0100

«У слова тон значений больше, чем снега в горах.»
Иоанн де Грокейо

Привет! Сегодня мы поговорим про ноты. Да-да, те самые, которые до-ре-ми-фа-соль-ля-си. Почему в этом ряду их всегда семь? Почему после си снова идёт до, но следующей октавы? И почему на фортепиано между этим семью белыми нотами есть ещё пять чёрных? Почему их ровно пять, и почему они так странно расположенны?

Удивительно, но ответы на эти вопросы вы скорее услышите на уроках физики и математики, чем в музыкальной школе.

Немножко физики

Давайте для начала возьмём обычную акустическую гитару как один из самых наглядных музыкальных инструментов — вы дёргаете за струну, она колеблется, вместе с ней колеблется воздух, и вы слышите ноту.

Высота услышанной ноты зависит от частоты колебаний струны, то есть от того, сколько колебаний она успевает сделать за одну секунду. Например, ля первой октавы — это 440 Гц, то есть ровно 440 колебаний в секунду. У низких нот частота меньше, а у высоких — больше.

В реальности чистого колебания с нужной частотой добиться практически невозможно. Вместо этого колебание струны представляет собой сумму сразу нескольких колебаний — всей струны, двух её половинок с частотой в два раза больше, трёх её третинок с частотой в три раза больше и так далее.

Музыканты в этот момент говорят, что звук, который вы слышите, образуется как сумма основного тона (например, ноты ля с частотой 440 Гц) и обертонов (от немецкого ober — высокий) — колебаний с частотой 880 Гц, 1320 Гц, 1760 Гц и так далее. Наше ухо воспринимает такую склейку позитивно, ведь все встречающиеся в природе звуки образуются ровно таким образом.

Здесь нам важно запомнить, что с точки зрения нашего уха колебания с частотами $\nu$, $2 \cdot \nu$, $3 \cdot \nu$, $4 \cdot \nu$ и так далее хорошо сочетаются друг с другом и приятно звучат. При этом частоты соседних колебаний относятся друг к другу как 1 к 2, 2 к 3, 3 к 4 и так далее. Благодаря этому факту появятся на свет приятные нашему слуху октавы, квинты, кварты и терции, но об этом чуть позже :-)

Отдельного внимания заслуживает первый обертон — тот самый, что имеет частоту в два раза больше, чем основной тон. Если взять его за основу и построить обертоны уже к нему, то этот ряд наполовину будет состоять из обертонов его старшего брата. Как следствие, итоговый звук зазвучит в нашем ухе очень похожим образом, хотя и выше.

Именно поэтому две получившиеся ноты (построенные от частоты $\nu$ с её обертонами и от частоты $2 \cdot \nu$ с её обертонами) решили называть одинаково — и там ля, и тут ля. А чтобы эти ля различать, придумали, собственно, октавы. Нота, построенная на основной частоте 440 Гц — это ля первой октавы, а на основной частоте 880 Гц — ля второй октавы. Ля третьей октавы построено уже на 1760 Гц, дальше идёт ля четвёртой октавы и так далее. Октавы ниже первой тоже существуют — ля малой октавы строится на 220 Гц, ля большой — на 110 Гц и так далее.

Немножко математики

Окей, с октавами разобрались. Но откуда берутся остальные ноты внутри октавы? На самом деле они появляются достаточно естественным образом. Мы только что выяснили, что обертоны для ля первой октавы звучат на частотах 880 Гц, 1320 Гц и 1760 Гц. Про 880 Гц и 1760 Гц нам уже всё понятно — это ля второй и третьей октавы. А вот что такое 1320 Гц? Если частоты нот ля второй и третьей октавы относятся друг к другу как 1 к 2, то частота этой лежащей между ними ноты соотносится с ними как 2 к 3 и 3 к 4 (а $\frac{2}{3} \times \frac{3}{4}$ как раз равно $\frac{1}{2}$ — радует, что математически мы ещё нигде не ошиблись). Эта промежуточная нота — нота ми. На самом деле это не совсем современная нота ми, но мы об этом поговорим позже. Пока давайте считать, что это честная ми, образующая квинту с ля второй октавы и кварту с ля третьей октавы. Названия «квинта» и «кварта» на самом деле появятся позже, но уже сейчас нам нужно как-то обозначать музыкальные интервалы (промежутки между двумя нотами), вот давайте и воспользуемся правильными названиями: интервал между нотами с соотношением основных частот 2 к 3 будем называть квинтой, а с соотношением 3 к 4 — квартой.

Получается, что обертоны располагаются следующим образом: первый — через октаву после базового тона, второй — через квинту после первого обертона и третий — через кварту после второго (что то же самое, что через две октавы после базового тона). Ну а дальше аналогично появляются и остальные интервалы — большая терция (интервал с соотношением частот 4 к 5) и малая терция (5 к 6). Чтобы можно было сыграть такие интервалы на наших инструментах, внутри октавы появляются и другие ноты.

Вот только незадача — у музыкантов и математиков никак не получалось выбрать конечное (и желательно небольшое, конечно) количество нот и расположить их внутри октавы так, чтобы любая пара нот давала один из приятных интервалов, описанных выше, или составлялся из нескольких таких. То там, то сям что-нибудь не клеилось.

Одной из первых успешных попыток решить эту задачу считают Пифагоров строй. Пифагор расположил семь нот внутри октавы со следующими соотношениями частот между парами соседних нот:

$$
\frac{8}{9} \hspace{4em} \frac{8}{9} \hspace{4em} \frac{243}{256} \hspace{4em} \frac{8}{9} \hspace{4em} \frac{8}{9} \hspace{4em} \frac{8}{9} \hspace{4em} \frac{243}{256}
$$

Обратите внимание — в этой последовательности встречается только два интервала — $\frac{8}{9}$, он побольше, и $\frac{243}{256}$, он поменьше (да, чем меньше число, тем больше интервал. Целая октава — это вообще $\frac{1}{2}$, как вы помните). Причём интервал $\frac{243}{256}$ встречается то через два больших интервала, то через три. Прямо как чёрные клавиши на фортепиано ;-)

Понятно, кстати, откуда здесь взялась дробь $\frac{8}{9}$ — это разность между двумя главными (после октавы, конечно) интервалами: квинтой и квартой.

$$\frac{2}{3} : \frac{3}{4} = \frac{8}{9}$$

В Пифагоровом строе не всё гладко — во-первых, эти двести-сорок-три двести-пятьдесят-шестых, которые появились как число, которого не хватало в ряду, чтобы произведение чисел во всём ряду было равно $\frac{1}{2}$. Смотрите: $\left(\frac{243}{256}\right)^2 \times \left(\frac{8}{9}\right)^5 = \frac{3^{5 \times 2}}{2^{8 \times 2}} \times \frac{2^{3 \times 5}}{3 ^ {2 \times 5}} = \frac{1}{2}$.

Во-вторых, фишкой пифагоровского строя было то, что от любой ноты можно было отложить не только октаву, но и чистую квинту, ведь $\frac{8}{9} \times \frac{8}{9} \times \frac{243}{256} \times \frac{8}{9} = \frac{1}{2}$. Исключение составляла только нота си, от неё квинта не откладывалась.

Пифагор попытался решить эту проблему добавлением в строй ещё пяти нот, тем самым разбив каждый из интервалов, равных $\frac{8}{9}$, на два более мелких интервала. С математической точки зрения он построил замыкание множества частот относительно операции откладывания квинты (то есть умножения и деления на $\frac{2}{3}$). Квинта от ля — это ми, квинта от ми — это си, но уже следующей октавы. Чтобы «вернуть» си в нашу октавы, просто делим частоту на два и продолжаем.

Немножко истории

Вы не поверите, но эта система просуществовала на протяжении 12 веков! Дольше, чем любая другая известная музыкальная система. Вот только музыкантов постоянно бесила так называемая волчья квинта. Дело в том, что если в системе Пифагора отложить квинту 12 раз, то мы должны получить исходную ноту, просто на 7 октав выше. Но на самом деле мы получим чуууть-чуть более высокую ноту, ведь $\left(\frac{3}{2}\right)^{12} \approx 129.746$, что чуть больше, чем $2^7=128$. Накопленную разницу называли пифагорейской коммой, и чтобы избавиться от неё, частоту какой-нибудь одной ноты немного подкручивали. В итоге одна из квинт внутри октавы получалась короче остальных и звучала абсолютно отвратительно, будто волки воют...

В итоге музыканты тех времён просто старались не играть смещённую ноту :-). Из-за этого было сложнее менять тональности у произведений, сложнее настраивать инструменты и тяжелее импровизировать. Неудивительно, что рано или поздно кто-то должен был придумать что-то ещё.

Этим кем-то стал Андреас Веркмейстер. Он сформулировал задачу так. Первое: нужно сохранить в октаве двенадцать традиционно устоявшихся звуков. Всё-таки 12 веков музыкальной истории так просто на помойку не выкинешь. Второе: никакой коммы быть не должно. И третье: все соотношения между соседними частотами должны быть абсолютно равными. Вот это было поистине революционное решение!

Математически Веркмейстер взял октаву с соотношением 1 к 2 и распределил её поровну между 12 нотами. Если две соседние ноты отличаются по своей частоте в $x$ раз, то $x^{12} = 2$, а значит, $x = \sqrt[^{12}]{2}$, вот и всё.

Частота ноты до-диез — это частота до, умноженная на $\sqrt[^{12}]{2}$. Частота ноты ре, следующей после до-диеза, это частота до-диеза, умноженная ещё на $\sqrt[^{12}]{2}$. И так далее! Через 12 нот получается идеальная октава.

Такие образом, Веркмейстер по сути равномерно распределил Пифагорову комму между всеми звуками внутри каждой октавы. Комма рассосалась и стала незаметной. Но досталось это счастье большой ценой: внутри октавы не осталось ни одного чистого интервала. Даже квинта — интервал, тысячелетиями считавшийся незыблемым — стала чуть короче, теперь она равна не $\frac{2}{3}$, а $\frac{1}{\sqrt[^{12}]{2}^7}$, то есть примерно $0,66742$.

Многих музыкантов поначалу возмутило предложение Веркмейстера. Однако через 30 лет почти все смирились с компромиссом, потому что разница между чистой настройкой и той, что предложил Веркмейстер, была едва уловимой, а достоинства нового строя постепенно стали очевидными. Исчезла волчья квинта. Стало возможным переходить из тональности в тональность и из мажора в минор как угодно. В ладу (например, в до-мажоре) остались те же семь основных звуков, но теперь лад мог начинаться с любой клавиши, хоть с белой, хоть с черной. Впервые делом доказал это великий Бах, написав цикл произведений для всех двадцати четырех тональностей — двенадцати минорных и двенадцати мажорных. До реформы Веркмейстера такое количество тональностей существовало лишь теоретически, а на практике было невыполнимо, ибо пришлось бы чуть не для каждой из них заново перестраивать инструмент.

Вместо заключения

Зачем я вам всё это рассказал? Во-первых, это красиво :-)

Во-вторых, я сейчас всё чаще понимаю, почему раньше существовали только доктора философии вместо современных докторов музыки или докторов математических и физических наук. Смог бы человек без понимания математики или физики придумать ноты? И, может, стоит нашим детям давать побольше кросс-предметных тем, чтобы они понимали, что ни математика, ни музыка, ни любые другие науки не существуют изолированно, друг без друга?

Бонус!

Первая струна классически настроенной гитары — это ми первой октавы. После этого поста, надеюсь, вы знаете, насколько легко сыграть на гитаре другое ми — ми второй октавы. Достаточно просто пережать первую струну посередине и дёрнуть за неё. Длина колеблющейся струны уменьшится в два раза, частота колебаний от этого увеличится в два раза, а, значит, нота перенесётся ровно на октаву вверх.

Заметка пятая. Разбор задания Crypto Backdoor с Google CTF 2017

Sat, 24 Jun 2017 13:10:53 +0100

Это заметка о том, как мы с Костей Плотниковым решали задание на ассиметричную криптографию с Google CTF, который прошёл неделю назад. Она кишит кодом на питоне, несложными терминами из теории групп и математическими выкладками. Смело пропускайте, если боитесь чего-нибудь из этого.

Формулировка как всегда бесконечно расплывчата:

This public-key cryptosystem has a flaw. Can you exploit it? crypto_backdoor.py

Костя попробовал меня ввести в курс дела, когда я присоединился к нему. Он рассказал, что в скрипте реализовано что-то вроде эллиптической криптографии. Работает она так: сначала на плоскости рисуется специальная кривая, а затем для каждой пары точек на ней определяется операция сложения. Сумма двух точек с кривой тоже лежит на кривой за исключением случая, когда получается особое значение — ноль. После этого естественным образом определяется умножение точки на натуральное число.

В эллиптической криптографии Боб, желающий получать зашифрованные сообщения от Алисы, выбирает секретное число $N$ и точку на эллиптической кривой $g$. Последняя называется генератором и сообщается всем желающим, а вот секретное число становится закрытым ключом Боба. Открытым ключом в этом случае называется произведение генератора и закрытого ключа; $B = Ng$.

Собственно, на мысли об эллиптических кривых Костю натолкнули наличие в скрипте точки-генератора и двух открытых ключей:

# Modulus
p = 606341371901192354470259703076328716992246317693812238045286463
# g is the generator point.
g = (160057538006753370699321703048317480466874572114764155861735009, 255466303302648575056527135374882065819706963269525464635673824)
# Alice's public key A:
A = (460868776123995205521652669050817772789692922946697572502806062, 263320455545743566732526866838203345604600592515673506653173727)
# Bob's public key B:
B = (270400597838364567126384881699673470955074338456296574231734133, 526337866156590745463188427547342121612334530789375115287956485)

Модуль $p$ здесь тоже неслучаен — в эллиптической криптографии как раз рассматриваются кривые над полем $\mathbb{Z}_p$. Позже, правда, мы пришли к выводу, что эллиптическая криптография тут совсем ни при чём... Но сначала мы внимательно изучили операцию сложения двух точек:

def add(a, b, p):
  if a == -1:
    return b
  if b == -1:
    return a
  x1, y1 = a
  x2, y2 = b
  x3 = ((x1*x2 - x1*y2 - x2*y1 + 2*y1*y2) * modinv(x1 + x2 - y1 - y2 - 1, p)) % p
  y3 = ((y1*y2) * modinv(x1 + x2 - y1 - y2 - 1, p)) % p
  return (x3, y3)

Нейтральный элемент (он же ноль) обозначен как $-1$, поэтому первые четыре строки функции очевидны. Функция $modinv(x, p)$ находит обратный элемент к $x$ в кольце $\mathbb{Z}_p$ с помощью расширенного алгоритма Евклида. Значит, сумма точек $(x_1, y_1)$ и $(x_2, y_2)$ это точка
$$\left(\frac{x_1x_2 – x_1y_2 – x_2y_1 + 2y_1y_2}{x_1+x_2-y_1-y_2-1}, \frac{y_1y_2}{x_1+x_2-y_1-y_2-1}\right)$$

Дробь означает целочисленное деление в кольце $\mathbb{Z}_p$.

Упрощаем сложение

Математик во мне захотел разобраться с этой операцией. Больше всего смущали одинаковые знаменатели и сложный числитель первой координаты. Стало проще, когда я переписал числитель как $(x_1-y_1)(x_2-y_2)+y_1y_2$, а знаменатель как $(x_1-y_1) + (x_2-y_2)$. Давайте перейдём из системы координат $(x, y)$ в систему $(t, y)$, где $t = x-y$. Обратный переход тоже очень простой: $x = t + y$. Если переписать операцию сложения в новой системе координат, то получится

$$(t_1, y_1) + (t_2, y_2) = \left(\frac{t_1t_2+y_1y_2}{t_1+t_2-1} – \frac{y_1y_2}{t_1+t_2-1}, \frac{y_1y_2}{t_1+t_2-1}\right) = \left(\frac{t_1t_2}{t_1+t_2-1}, \frac{y_1y_2}{t_1+t_2-1}\right)$$

Получившаяся формула в некотором смысле даже симметрична. Это дало нам оптимизм на несколько следующих часов.

Мастер-секрет

Однако в скрипте само по себе сложение нигде не используются. Зато используется умножение точки на число:

from secret_data import aliceSecret, bobSecret, flag

assert A == mul(aliceSecret, g, p)
assert B == mul(bobSecret, g, p)

aliceMS = mul(aliceSecret, B, p)
bobMS = mul(bobSecret, A, p)
assert aliceMS == bobMS
masterSecret = aliceMS[0]*aliceMS[1]

Настало время разобраться, что вообще происходит в скрипте и что нужно найти.

$aliceSecret$ — это натуральное число, закрытый ключ Алисы, он умножается на известный нам генератор, и в результате получается известный нам открытый ключ Алисы. Аналогичное проделывается с ключами Боба. После этого открытый ключ Боба умножается на закрытый ключ Алисы, получая точку $aliceMS = aliceSecret \times bobSecret \times g$. Симметричная операция вычисляет $bobMS = bobSecret \times aliceSecret \times g$. Очевидно, что эти две точки должны совпасть, что и проверяется последним assert’ом. Мастер-секретом объявляется произведение координат этой общей точки. Этот мастер-секрет и надо найти, так как в конце скрипта он ксорится с флагом:

def encrypt(message, key):
  return message ^ key

length = len(flag)
encrypted_message = encrypt(I(flag), masterSecret)
print "length = %d, encrypted_message = %d" % (length, encrypted_message)
# length = 31, encrypted_message = 137737300119926924583874978524079282469973134128061924568175107915062758827931077214500356470551826348226759580545095568667325

Умножение в новых координатах

Раз для подсчёта мастер-секрета используется умножение, то вернёмся к нашим формулам и выясним, как точка в новых координатах $(t, y)$ умножается на число $k$. Переберём несколько маленьких коэффициентов:

$$2(t, y) = (t, y) + (t, y) = \left(\frac{t^2}{2t-1}, \frac{y^2}{2t-1}\right)$$

$$3(t, y) = 2(t, y) + (t, y) = \left(\frac{t^2}{2t-1}, \frac{y^2}{2t-1}\right) + (t, y) =
\left(\frac{\frac{t^3}{2t-1}}{\frac{t^2}{2t-1} + t – 1}, \frac{{\frac{y^3}{2t-1}}}{\frac{t^2}{2t-1} + t – 1}\right) =
\left(\frac{t^3}{3t^2-3t+1}, \frac{y^3}{3t^2-3t+1}\right)$$

$$4(t, y) = 2(t, y) + 2(t, y) = \left(\frac{t^2}{2t-1}, \frac{y^2}{2t-1}\right) + \left(\frac{t^2}{2t-1}, \frac{y^2}{2t-1}\right) =
\left(\frac{\frac{t^4}{(2t-1)^2}}{\frac{2t^2}{2t-1} – 1}, \frac{\frac{y^4}{(2t-1)^2}}{\frac{2t^2}{2t-1} – 1}\right) =
\left(\frac{\frac{t^4}{2t-1}}{2t^2-2t+1}, \frac{\frac{y^4}{2t-1}}{2t^2-2t+1}\right) =
\left(\frac{t^4}{4t^3-6t^2+4t-1}, \frac{y^4}{4t^3-6t^2+4t-1}\right) $$

Умножать дальше становилось всё сложнее, поэтому пора найти закономерность. В числителях всё время получается $t^k$ и $y^k$, а в знаменателях видны биномиальные коэффициенты. Смотрите, $4t^3-6t^2+4t-1$ похоже на $t^4 + (4t^3-6t^2+4t-1)$, что в свою очередь равно $(t + 1)^4$. Так у нас появилась гипотеза, что знаменатель равен $(t+1)^k – t^k$.

Итоговую формулу

$$k \times (t, y) = \left(\frac{t^k}{(t+1)^k – t^k}, \frac{y^k}{(t+1)^k – t^k}\right)$$

теперь можно доказать по индукции по $k$. Делать я этого, конечно же, не буду.

Решение

Задача будет решена, если мы узнаем закрытый ключ Алисы или Боба. В случае с Бобом нам достаточно найти такое $k \in \mathbb{Z}_p$, что $kg = B$. В наших новых координатах и формулах это выглядит так:

$$\left(\frac{g_t^k}{(g_t+1)^k – g_t^k}, \frac{g_y^k}{(g_t+1)^k – g_t^k}\right) = (B_t, B_y)$$

где $(g_t, g_y)$ — координаты генератора $g$ в системе $(t, y)$, а $(B_t, B_y)$ — аналогичные координаты точки $B$. Взяв из этого равенства первую координату, получаем:

$$ \frac{g_t^k}{(g_t+1)^k – g_t^k} = B_t$$

$$g_t^k = B_t ((g_t+1)^k – g_t^k)$$

$$g_t^k (1 + B_t) = B_t (g_t+1)^k$$

$$\left(\frac{g_t}{g_t+1}\right)^k = \frac{B_t}{1 + B_t}$$

Чтобы найти искомое $k$, достаточно вычислить логарифм в кольце $\mathbb{Z}_p$, то есть решить задачу дискретного локарифмирования. Здесь мы с Костей приуныли, потому что поняли, что зашли в тупик. Дискретное логарифмирование — задача, которую нельзя решить за нормальное время.

Только через час Костя догадался проверить данный нам модуль $p$ на простоту. Совершенно неожиданно он оказался составным:

$$p = 961236149 \times 951236179 \times 941236273 \times 911236121 \times 931235651 \times 921236161 \times 901236131$$

Наверняка все знают, как посчитать дискретный логарифм по непростому основанию. А мы не знаем. Так что мы взяли бумажку и стали придумывать алгоритм.

Когда-то Асанов рассказывал байку, что студенты УПИ обычно знают способ решить задачу, а студенты матмеха не знают. Зато студенты матмеха могут придумать решение. Кажется, теперь я понял эту байку.

Дискретный логарифм по составному основанию

Пусть мы нашли дискретный логарифм от $b$ по основанию $a$ в кольцах $\mathbb{Z}_p$ и $\mathbb{Z}_q$. То есть мы нашли такие $n$ и $m$, что

$$a^n \equiv b \pmod{p}$$
$$a^m \equiv b \pmod{q}$$

Теперь мы хотим решить задачу в кольце $\mathbb{Z}_{pq}$, то есть найти такое $k$, что $a^k \equiv b \pmod{pq}$. Порядком числа $a$ в кольце называется такое минимальное натуральное $z$, что $a^z = 1$. Пусть число $a$ имеет порядки $u$ и $v$ в кольцах $\mathbb{Z}_p$ и $\mathbb{Z}_q$ соответственно. Тогда $b \equiv a^n \equiv a^{n + u} \equiv a^{n+2u} \equiv a^{n+3u} \equiv \dots \pmod{p}$ и $b \equiv a^m \equiv a^{m + v} \equiv a^{m+2v} \equiv a^{m+3v} \equiv \dots \pmod{q}$. Если мы найдём число, которое можно выразить и как $n + ?u$, и как $m + ?v$, то оно станет ответом задачи дискретного логарифмирования по модулю $pq$.

Ну а найти такое число — дело техники и расширенного алгоритма Евклида. Если $n + ?u = m + ?v$, то $?u – ?v = m – n$. Если $m-n$ не делится на $НОД(u, v)$, то решения нет, иначе расширенный алгоритм Евклида решит это линейное диофантово уравнение, и всё станет хорошо.

Так как данный в задании модуль $p$ мы разложили на простые множители $p_1 \times p_2 \times \dots \times p_7$, которые к тому же получились не очень большими, то мы можем решить задачу дискретного логарифмирования в каждом из $\mathbb{Z}_{p_i}$. Соединить семь чисел в один большой ответ поможет описанный только что алгоритм.

Как решить дискретный логарифм для $p_i$

Простые делители модуля $p$ были не очень большими, но и не настолько маленькими, чтобы дискретный логарифм можно было найти простым перебором. К счастью, есть алгоритм Baby Steps Giant Steps, который позволяет сделать это намного быстрее — за $O(\sqrt{n})$. Его мы и реализовали. Да, мы думали о том, что Baby Steps Giant Steps уже реализован в куче библиотек, но лично меня это только раззадоривает — так интересно ведь всё сделать самому.

Как найти порядок элемента в кольце

На часах было уже около часа ночи, а мне предстояло запрограммировать на питоне поиск порядка элемента в кольце $\mathbb{Z}_p$. Теорема Эйлера шептала, что $x^{\phi(p)} \equiv 1 \pmod{p}$, но $\phi(p)$ могло оказаться не минимальным числом с таким свойством. Значит, искомый порядок — это делитель $\phi(p)$. Но делителей слишком много, чтобы перебирать их все. Так что пришла пора узнать более быстрый способ находить порядок элемента. На помощь пришла пдфка из интернета, в которой есть чудесный алгоритм 4.79, я реализовал его и научился быстро находить порядок элемента в кольце, зная разложение на простые множители у $\phi(p)$.

Заключение

Применив всю магию сверху, мы нашли закрытый ключ Боба $bobSecret$. Умножив его на открытый ключ Алисы, мы нашли мастер-секрет, который и выдал нам флаг:

Master secret found: (254828745614253797280016043417264027645246572307317271091197847, 540509273347153402828726537667691800163306365090607497812000946)
Flag: CTF{Anyone-can-make-bad-crypto}

Если вкратце повторить всё наше решение, то оно перестаёт казаться страшным и длинным:

переходим в систему координат $(t, y)$,
вычисляем $a = \frac{g_t}{g_t+1}$ и $b = \frac{B_t}{1 + B_t}$,
решаем задачу дискретного логарифма $a^{?} = b$ в кольце $\mathbb{Z}_p$, зная разложение $p$ на простые множители,
умножаем полученный ответ на открытый ключ Алисы $A$, это и есть мастер-секрет,
переходим обратно в координаты $(x, y)$, перемножаем координаты мастер-секрета, расшифровываем флаг.