你给了PyCryptodome一个素数非常不相称的私钥，这个密钥的安全性就因为这个而被破坏了。你在你的问题中注意到了这一点，但这一点在这里很重要，因为PyCryptodome似乎对素数的大小做出了假设。你知道吗

为了安全起见，RSA公钥加密通常需要使用两个素数that are close in magnitude：

For security purposes, the integers p and q should be chosen at random, and should be similar in magnitude but differ in length by a few digits to make factoring harder.

通过将第二个素数设为一位数值，似乎削弱了键：

$ openssl rsa -in private.key -text -noout | sed '/prime1:/,/prime2:/!d;/prime2:/q'
prime1:
    29:2b:9a:28:ee:ef:80:1f:0c:86:56:1b:30:c5:06:
    a0:88:08:80:b3:c9:cd:56:18:6a:da:a4:26:99:77:
    19:f4:22:a0:a7:4c:1e:28:d1:20:01:88:5d:23:59:
    5e:7f:0a:b3:cf:38:3a:6a:5b:2a:a6:c7:fd:c4:a1:
    46:7e:3d:10:07:c8:18:79:d1:d1:a1:79:8d:95:fa:
    34:14:b2:36:96:e3:90:ac:d6:5d:01:10:6c:7a:1d:
    8e:94:e5:e5:96:85:c4:a6:54:5b:4f:a4:2d:7a:97:
    dc:7c:50:2f:03:76:72:2b:ee:5c:3a:22:4d:11:b5:
    f8:a3:cd:92:26:85:56:58:40:3d:86:ec:61:28:33:
    81:b2:3f:e5:5e:6a:65:47:a6:78:bd:a0:db:5e:33:
    1c:2f:64:aa:2e:7c:fa:3f:c9:7f:09:44:e5:68:ac:
    83:97:7b:6b:8e:47:3a:64:62:8e:ab:0b:dc:3b:ba:
    81:9d:5f:96:bd:7d:37:0d:f9:48:ce:e4:96:39:b2:
    65:d2:04:19:7c:1c:a7:0e:95:6d:42:ce:74:76:2c:
    7d:13:6a:0e:ce:4d:8a:34:8a:fd:22:f5:ee:5a:4e:
    0c:15:7c:7b:14:bc:c6:a0:cf:a6:74:92:45:a9:d4:
    e5:b4:f3:e3:d0:78:59:38:c4:3f:a0:ac:77:4f:de:
    07
prime2: 5 (0x5)

prime1（p值）是一个使用617位数字的“适当”大素数，而第二个q素数是一个数字值，因此p大约大10^616倍。使用这个密钥会触发最坏的情况，就像PyCryptodome处理RSA解密一样。你知道吗

在解密过程中，实现是trying to make a negative number positive by repeatedly adding the second prime number：

m1 = pow(cp, self._d % (self._p - 1), self._p)
m2 = pow(cp, self._d % (self._q - 1), self._q)
h = m2 - m1
while h < 0:
    h += self._q

在上面的代码中，_p和_q属性是两个素数，_d是私钥指数

因为给定的私钥使用的是两个素数，这类素数非常不相称（1位数对616位数），所以m2的值是3，而m1是616位数的短值。因此，尝试将q（5）添加到一个616位的负整数将花费很长时间。在我老化的Macbook Pro笔记本电脑上，PyCryptodome使用的GMP包装器可以在大约6秒内将一个小整数添加到这个大整数上100万次：

timeit("a + b", "from Crypto.Math._IntegerGMP import IntegerGMP as H; a = H(-529888206800322351142280698970509553244088870105926093960960600839997948364537263924658051221855219286822834908160253952313431263065035892252247530580840707934254014192645042780064071400938165792458671917549294961637063901428635522475550885330295366860440266592481901428697979715456902249133738633092402578072834537512045684962133176512203248846326955899359525113708331947304401283815041620003402445741404924361709787545141518988924507726836779489762118740731196007268258996956015186886831392340919980371282865371496239488099989353283964607756716132847721450221986689589881754517900556993453537792486255692015472770); b = H(5)")
5.970772444999966

要完成这个while循环就必须再迭代10^609次，而我的笔记本电脑所用的总时间将需要603位数字来表示所需的数百万年数。我不指望宇宙能维持那么久，更不用说我的笔记本了。你知道吗

它应该只使用模运算；您可以在这里用模运算替换while h < 0: h += self._q循环：

if h < 0:
    h %= self._q

这是版本3.9.3中第162行的Crypto/PublicKey/RSA.py。随着这一变化，解密又几乎是瞬间的。你知道吗

我已经提交了这个as a bug with the PyCryptodome project（现在关闭为fixed），项目发布了version 3.9.4，循环被一个模运算替换。你知道吗

如果您不想更改已安装的PyCryptodome副本并且被阻止，您可以切换到使用^{} project，因为它没有这个问题。PyCryptodome本身实现RSA算法，而cryptography将解密委托给openssl库。你知道吗