[watevrCTF 2019]ECC-RSA 题解

最新推荐文章于 2024-10-21 21:34:42 发布
最新推荐文章于 2024-10-21 21:34:42 发布
阅读量2.3k 收藏 7
点赞数 3
分类专栏: Crypto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a5555678744/article/details/117575339
版权
本文详细介绍了如何使用椭圆曲线生成RSA密钥对,并通过数学解析找到私钥,从而解决RSA加密问题。首先解释了椭圆曲线上的数乘运算,然后展示了利用sage数学软件求解密钥的过程,最终成功解密得到FLAG。整个过程涉及到椭圆曲线、RSA算法和有限域上的多项式因式分解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

刚开始解除ECC,先去补了点基础知识,建议想搞懂相关基础理论的朋友们可以参考这位师傅的博客,解决这道题这些理论绰绰有余了

https://blog.youkuaiyun.com/sitebus/article/details/82835492

了解基础知识之后这道题的分析其实不是很难

分析算法逻辑

from fastecdsa.curve import P521 as Curve
from fastecdsa.point import Point
from Crypto.Util.number import bytes_to_long, isPrime
from os import urandom
from random import getrandbits

def gen_rsa_primes(G):
	urand = bytes_to_long(urandom(521//8))
	while True:
		s = getrandbits(521) ^ urand

		Q = s*G
		if isPrime(Q.x) and isPrime(Q.y):
			print("ECC Private key:", hex(s))
			print("RSA primes:", hex(Q.x), hex(Q.y))
			print("Modulo:", hex(Q.x * Q.y))
			return (Q.x, Q.y)

首先看这个函数,函数的功能可以从函数名中直接看出,也就是生成RSA算法需要的两个素因子。

具体实现上,首先通过urandom和getrandits两个函数得到的值相异或的得到随机数s(这里用两种随机数生成方法相异或,我的理解是能够生成随机性更佳的数字)

但是注意下面这句

Q = s*G

在椭圆曲线的伽罗瓦群中数乘运算的定义变了,具体怎么变了请参考https://blog.youkuaiyun.com/sitebus/article/details/82835492

总之就是很难还原出来,但是我们知道一个关键信息就是在伽罗瓦群中,算出来的结果必然也在这个群中,即在这条椭圆曲线上。

即满足以下关系

y^{2} = x^{3} + a*x + b(椭圆曲线的标准方程)

flag = int.from_bytes(input(), byteorder="big")

ecc_p = Curve.p
a = Curve.a
b = Curve.b

Gx = Curve.gx
Gy = Curve.gy
G = Point(Gx, Gy, curve=Curve)


e = 0x10001
p, q = gen_rsa_primes(G)
n = p*q


file_out = open("downloads/ecc-rsa.txt", "w")

file_out.write("ECC Curve Prime: " + hex(ecc_p) + "\n")
file_out.write("Curve a: " + hex(a) + "\n")
file_out.write("Curve b: " + hex(b) + "\n")
file_out.write("Gx: " + hex(Gx) + "\n")
file_out.write("Gy: " + hex(Gy) + "\n")

file_out.write("e: " + hex(e) + "\n")
file_out.write("p * q: " + hex(n) + "\n")

c = pow(flag, e, n)
file_out.write("ciphertext: " + hex(c) + "\n")
'''
ECC Curve Prime: 0x1ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
Curve a: -0x3
Curve b: 0x51953eb9618e1c9a1f929a21a0b68540eea2da725b99b315f3b8b489918ef109e156193951ec7e937b1652c0bd3bb1bf073573df883d2c34f1ef451fd46b503f00
Gx: 0xc6858e06b70404e9cd9e3ecb662395b4429c648139053fb521f828af606b4d3dbaa14b5e77efe75928fe1dc127a2ffa8de3348b3c1856a429bf97e7e31c2e5bd66
Gy: 0x11839296a789a3bc0045c8a5fb42c7d1bd998f54449579b446817afbd17273e662c97ee72995ef42640c550b9013fad0761353c7086a272c24088be94769fd16650
e: 0x10001
p * q: 0x118aaa1add80bdd0a1788b375e6b04426c50bb3f9cae0b173b382e3723fc858ce7932fb499cd92f5f675d4a2b05d2c575fc685f6cf08a490d6c6a8a6741e8be4572adfcba233da791ccc0aee033677b72788d57004a776909f6d699a0164af514728431b5aed704b289719f09d591f5c1f9d2ed36a58448a9d57567bd232702e9b28f
ciphertext: 0x3862c872480bdd067c0c68cfee4527a063166620c97cca4c99baff6eb0cf5d42421b8f8d8300df5f8c7663adb5d21b47c8cb4ca5aab892006d7d44a1c5b5f5242d88c6e325064adf9b969c7dfc52a034495fe67b5424e1678ca4332d59225855b7a9cb42db2b1db95a90ab6834395397e305078c5baff78c4b7252d7966365afed9e
'''

首先这一段flag所在的位置表明,最后要解决的问题就是一个普通RSA的问题,那么关键其实就是n的分解问题,也就是p和q的值

随后关注p和q的产生,发现p,q源自上面说的那个函数

通过前面对函数的分析,很显然上述方程y^{2} = x^{3} + a*x + b中的x,y分别为p,q

加上n = p * q

两个方程两个未知数,是有可能得到解的

调整一下方程

n^{2} = x^{5} + a*x^{3} + b*x^{2}

放到sage中解

a=-0x3
b=0x51953eb9618e1c9a1f929a21a0b68540eea2da725b99b315f3b8b489918ef109e156193951ec7e937b1652c0bd3bb1bf073573df883d2c34f1ef451fd46b503f00
n=0x118aaa1add80bdd0a1788b375e6b04426c50bb3f9cae0b173b382e3723fc858ce7932fb499cd92f5f675d4a2b05d2c575fc685f6cf08a490d6c6a8a6741e8be4572adfcba233da791ccc0aee033677b72788d57004a776909f6d699a0164af514728431b5aed704b289719f09d591f5c1f9d2ed36a58448a9d57567bd232702e9b28f
p0=0x1ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
R.<x>=Zmod(p0)[]
f=x**5+a*x**3+b*x**2-n**2
f.roots()

有三个结果

其中两个不是质数,显然不是p的值,那么

p=4573744216059593260686660411936793507327994800883645562370166075007970317346237399760397301505506131100113886281839847419425482918932436139080837246914736557

知道n的分解后,写个简单脚本解一下就ok了

import gmpy2
from Crypto.Util.number import *
e=0x10001
n=0x118aaa1add80bdd0a1788b375e6b04426c50bb3f9cae0b173b382e3723fc858ce7932fb499cd92f5f675d4a2b05d2c575fc685f6cf08a490d6c6a8a6741e8be4572adfcba233da791ccc0aee033677b72788d57004a776909f6d699a0164af514728431b5aed704b289719f09d591f5c1f9d2ed36a58448a9d57567bd232702e9b28f
p=4573744216059593260686660411936793507327994800883645562370166075007970317346237399760397301505506131100113886281839847419425482918932436139080837246914736557
q=n//p
c=0x3862c872480bdd067c0c68cfee4527a063166620c97cca4c99baff6eb0cf5d42421b8f8d8300df5f8c7663adb5d21b47c8cb4ca5aab892006d7d44a1c5b5f5242d88c6e325064adf9b969c7dfc52a034495fe67b5424e1678ca4332d59225855b7a9cb42db2b1db95a90ab6834395397e305078c5baff78c4b7252d7966365afed9e
d = gmpy2.invert(e,(p-1)*(q-1))
print(long_to_bytes(pow(c,d,n)))

#FLAG:watevr{factoring_polynomials_over_finite_fields_is_too_ez}

 

[watevrCTF 2019]ECC-RSA
weixin_44110537的博客
08-08 985
encrypt from fastecdsa.curve import P521 as Curve from fastecdsa.point import Point from Crypto.Util.number import bytes_to_long, isPrime from os import urandom from random import getrandbits def gen_rsa_primes(G): urand = bytes_to_long(urandom(521//8))
CTF-CRYPTO-RSA-ECC
zippo1234的博客
11-26 3056
CTF-CRYPTO-RSA-ECCRSA-ECC题目分析1.题目2.分析(1)加密过程分析(2)理论基础(3)sage分解脚本4.get flag结语 这几天在准备一个培训,身心俱疲,略有懈怠。。。 每天一题,只能多不能少 RSA-ECC 题目分析 ECC椭圆曲线方程 sage求因式 gcd(p,n) != 1 1.题目 ecn.py from fastecdsa.point import Point from Crypto.Util.number import bytes_to_long, isPr
[watevrCTF 2019]ECC-RSA1
2303_79934875的博客
02-13 457
(1)△=-16(4a^3+27b)≠0,用来保证曲线是光滑的,即曲线的所有点都没有两个或者两个以上的不同的。带入方程可以得到n*n=p^5+a*p^3+b*p^2(mod ecc_p)文件里大概给了一些数据以及p,q的生成方式,也就用到了ECC。(2) a., b EK,K为E的基础域。(3)点O2∞是曲线的唯一的无穷远点。其中p,q对应着x,y的方程。随后正常解rsa即可得到。带入sagemath。
BUU [watevrCTF 2019]ECC-RSA
MikeCoke的博客
10-07 983
分析题目: 通过分析代码,我们可以知道 这个题是 ECCRSA 的混合加密,尽管用了两种加密方式,但加密并不复杂。 我们只需要求出 ,p,q的值就能得到 flag 了。点(p,q)是椭圆曲线上的两个点。代入椭圆曲线的方程就能解出 p,q了。 q ^ 2 = p ^ 3 + a * p + b 又因为 n = p * q ,将方程左右两边同时乘以 p ^ 2 所以有:n ^ 2 = p ^ 5 + a * p ^ 3 + b * p ^2 通过Sage解方程: 发现第二个结果符合条件:
RSA=>ECC?
10-26 846
原文 RSA   RSA加密算法是现在广泛使用的现代加密的第一代加密算法,它是基于大素数分解难的数学问题来保证加密算法的安全性。设计一个加密算法需要满足一个条件,就是能够找到一个满足trapdoor的函数,也就是在计算上保证在一个方向是计算容易而在另一个方向上计算困难的特性,RSA刚好满足这一特性。随着硬件的发展,为了继续保证RSA的安全性,RSA现在的密钥长度要求越来越大了,密钥长度的变大虽...
基于ECC-RSA的图像加解密算法matlab仿真+仿真录像
10-29
1.版本:matlab2021a,我录制了仿真操作录像,可以跟着操作出仿真结果 2.领域:图像加解密 3.内容:基于ECC-RSA的图像加解密算法matlab仿真+仿真录像 4.适合人群:本,硕等教研学习使用
基于ECC-RSA的图像加解密算法matlab仿真.zip
11-01
在MATLAB2019a环境下,可以利用内置的`eccgen`函数生成ECC密钥,`rsa`函数生成RSA密钥,以及`encrypt`和`decrypt`函数进行加解密操作。具体代码实现需根据实际需求编写,同时注意处理图像数据的二进制转换。 五、...
matlab-(含教程)基于ECC-RSA的图像加解密算法matlab仿真
09-11
在本资源中,我们主要探讨的是使用MATLAB进行基于椭圆曲线密码学(ECC)和RSA公钥加密系统的图像加解密算法的仿真。MATLAB是一款强大的数值计算和编程环境,非常适合进行复杂的数学和算法模拟。以下是相关知识点的...
CTF-Crypto:ECC专题
最新发布
weixin_46223830的博客
10-21 511
已知公钥K(x,y)=kG,现在私钥k有了,G点也有了,这道题就是模拟ECC生成公钥的过程。ECC乘法的代码实现可以看看,与快速幂的代码实现思想差不多。已知椭圆曲线加密Ep(a,b)参数为。ECC加法主要是偏向数学方面。
非对称加密算法RSA的深度解析,在CTF中RSA题目
Scalzdp的专栏
10-27 1802
今天对RSA的原理进行了讲解,并且收集了一些CTF中RSA攻击的脚本,这些脚本基本包括了基础的应用。整个逻辑还是需要对整个过程进行推导,这些推导需要一定的数学知识。好吧,今天就分享到这里。每天学习每天进步。
ctf密码学ECC,自己给自己挖坑
weixin_51555115的博客
01-26 5088
ECC椭圆曲线加密(一) 由于,做了一道密码学的题,好奇ECC的加密原理,然后自己就给自己开了个坑。 我还真没想到,ECC这么难搞,特指数学菜狗的我。 解题 题目:easy_ECC 已知椭圆曲线加密Ep(a,b)参数为 p = 15424654874903 a = 16546484 b = 4548674875 G(6478678675,5636379357093) 私钥为 k = 546768 求公钥K(x,y) flag格式为cyberpeace{x+y的值} 我们先把题解决了再说,这个题用到了一个
[指挥官一个小题] ECC
weixin_52640415的博客
11-01 761
sagemath 解一元方程
CTF密码学总结(二)
热门推荐
沐一 · 林 的博客
11-03 4万+
CTF 密码学总结 出人意料的flag: 指在题目中获取到了flag,但是这个flag可能长得不像flag,或者flag还要经过进一步的脑洞处理,而不是常规的解密处理。 非预期行为: 指解题中出现与预想结果不符合的一系列非预期行为,这基本说明了在中间或前面存在其他自己还没分析的操作。 冗余中锁定关键代码: 从后往前看,就是确定比较关键对象,从该对象开始排除其他无关变量,一步步找出与该对象有关的其它变量,最后串起找到的所有相关变量,然后开始逆向分析。 题目类型总结: 题目描述暗
CTF密码学总结(一)
沐一 · 林 的博客
11-01 3万+
目录 CTF 密码学总结 题目类型总结: 简单密码类型: 复杂密码类型: 密码学脚本类总结: 单独的密文类型(优先使用ciphey工具) 多层传统加密混合: Bugku的密码学的入门题/.-:(摩斯密码、url编码、出人意料的flag) 攻防世界之混合编码:(base64解密、unicode解密、ASCII转字符脚本、传统base64解密、ASCII解密) 单层传统加密: Bugku crypto之聪明的小羊:(题目描述暗示、栅栏密码) 攻防世界之转轮机加密:(转轮机加密、)
CTF学习笔记二——ECC加密
qq_45198339的博客
01-24 2333
本文对椭圆曲线加密进行了学习
离散椭圆曲线加密学习(CTF)
liuzejie1的博客
03-23 830
通过这个函数,我们可以知道,因为p和q是点Q的x和y,所以p和q两个参数应该满足椭圆曲线的公式。fastecdsa包中已经构造好了各种满足条件的椭圆曲线,题中用的是P521。fastecdsa是一个用于进行快速椭圆曲线加密的python包。其中a,b,Gx,Gy都是常量,用于构造椭圆曲线。
CTF学习笔记一——RSA加密
qq_45198339的博客
01-20 8408
本文对ctf中的rsa题型进行了归纳总结
[buuctf.reverse] 152-154
weixin_52640415的博客
07-05 480
152_[watevrCTF 2019]Hacking For Vodka 153_[watevrCTF 2019]sabataD 154_[HackIM2020]returminator
【CTF】【Crypto】 ECC 小计
HWHXY的博客
07-20 1318
ecc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值