ECDSA learning

最新推荐文章于 2024-05-16 15:54:21 发布
最新推荐文章于 2024-05-16 15:54:21 发布
阅读量1.2k 收藏 7
点赞数 16
分类专栏: CTF密码学 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mu__Chen/article/details/125419691
版权
本文介绍了ECDSA加密算法的工作原理,包括私钥、公钥的生成,加密和解密过程。重点讲解了数字签名的创建与验证,并通过一个具体的ECDSA解题实例展示了如何利用签名的r、s和hash值恢复私钥。文章最后提供了实现ECDSA加密解密的Python代码片段,帮助读者深入理解该算法。
摘要由CSDN通过智能技术生成

ECDSA learning

前言

pwnhub六月内部赛出了一道ecdsa,由于当时还没学到签名的内容,再加上还要复习宪法学,下了个附件看了看题就扔一边了,现在有时间学习一下。

加密

首先,我们给出ECDSA处理过程的简要概述。本质上,包括四个基本要素:

1、参与数字签名的所有通信方都使用相同的全局域参数,用定义椭圆曲线以及曲线上的基点。
2、签名者首先需要生成一对公钥、私钥。对于私钥,签名者选择一个随机数或者伪随机数作为签名者的私钥。使用随机数和基点,签名者计算出椭圆曲线上的另一解点,作为签名者的公钥
3、对于待签名的消息计算其hash值。使用私钥、全局域参数、hash值来产生签名、签名包括两个整数,r和s
4、如果要对签名进行验证,验证者使用签名者的公钥、全局域参数、整数s作为输入,并将计算得到的输出值v与收到的r进行比较。如果v=r,则签名通过

私钥

随机选取一个在(1,n−1)区间上的整数dA作为私钥

其中n是选取椭圆曲线上的秩,也就是椭圆曲线加密方程的模数

公钥

Q=dA*G,其中Q是公钥,是由私钥生成的

G是椭圆曲线上的基点(有问题的话可以去看我之前那篇ecc加密原理的文章)

加密过程

若对消息m进行签名,所采用过的椭圆曲线参数为D=(p,a,b,G,n,h),对应的密钥对为(k,Q),其中Q为公钥,k为私钥。

步骤如下:

1、生成一个临时密钥k

2、计算P=k*G,其中P是椭圆曲线上的一个点

3、取P点的横坐标x,使r≡x(mod n)

4、使用sha1函数计算message的hash值,使用e表示,e=H(m),注意这个哈希值需要转换为数值型

5、s≡k-1 * (e+ dA * r)(mod n)

输出值(r,s)即为数字签名

代码如下:

import ecdsa
gen = ecdsa.NIST256p.generator
order = gen.order()
# 生成私钥d_A
d_A = random.randrange(1,order-1)
# 生成公私钥对象
public_key = ecdsa.ecdsa.Public_key(gen,gen * d_A)
private_key = ecdsa.ecdsa.Private_key(public_key,d_A)
message = "Mu.Chen_want_girlfriends"
m = int(hashlib.sha1(message.encode("utf8")).hexdigest(),16)
# 临时密钥
k = random.randrange(1,order-1)
# 签名
signature = private_key.sign(m,k)
r = signature.r 
s = signature.s

解密过程

因为是dsa,所以解密又叫验证

步骤如下:

1、检查r和s是否为1到n-1之间的整数

2、使用sha,计算160位的hash值e

3、令w=inverse(s,n)

4、计算u1=ew u2=rw

5、计算解点X=(x1,y1)= u1 * G + u2 * Q

6、进行判断当v = = r vrvr时,校验成功

题目

回到这道ecdsa里,我们来具体看一下是如何解码校验

from ecdsa.ecdsa import *
import hashlib
import gmpy2
from secret import secrpt


def inverse_mod(a, m):
    if a == 0:
        return 0
    return gmpy2.powmod(a, -1, m)


def bit_length(x):
    return x.bit_length()


class RSZeroError(RuntimeError):
    pass


class InvalidPointError(RuntimeError):
    pass


class Signature(object):
    """ECDSA signature."""

    def __init__(self, r, s):
        self.r = r
        self.s = s


class Public_key(object):
    """Public key for ECDSA."""

    def __init__(self, generator, point, verify=True):
        """Low level ECDSA public key object.

        :param generator: the Point that generates the group (the base point)
        :param point: the Point that defines the public key
        :param bool verify: if True check if point is valid point on curve

        :raises InvalidPointError: if the point parameters are invalid or
            point does not lay on the curve
        """

        self.curve = generator.curve()
        self.generator = generator
        self.point = point
        n = generator.order()
        p = self.curve.p()
        if not (0 <= point.x() < p) or not (0 <= point.y() < p):
            raise InvalidPointError(
                "The public point has x or y out of range."
            )
        if verify and not self.curve.contains_point(point.x(), point.y()):
            raise InvalidPointError("Point does not lay on the curve")
        if not n:
            raise InvalidPointError("Generator point must have order.")
        # for curve parameters with base point with cofactor 1, all points
        # that are on the curve are scalar multiples of the base point, so
        # verifying that is not necessary. See Section 3.2.2.1 of SEC 1 v2
        if (
            verify
            and self.curve.cofactor() != 1
            and not n * point == ellipticcurve.INFINITY
        ):
            raise InvalidPointError("Generator point order is bad.")


class Private_key(object):
    """Private key for ECDSA."""

    def __init__(self, public_key, secret_multiplier):
        """public_key is of class Public_key;
        secret_multiplier is a large integer.
        """

        self.public_key = public_key
        self.secret_multiplier = secret_multiplier

    def sign(self, hash, random_k):
        """Return a signature for the provided hash, using the provided
        random nonce.  It is absolutely vital that random_k be an unpredictable
        number in the range [1, self.public_key.point.order()-1].  If
        an attacker can guess random_k, he can compute our private key from a
        single signature.  Also, if an attacker knows a few high-order
        bits (or a few low-order bits) of random_k, he can compute our private
        key from many signatures.  The generation of nonces with adequate
        cryptographic strength is very difficult and far beyond the scope
        of this comment.

        May raise RuntimeError, in which case retrying with a new
        random value k is in order.
        """

        G = self.public_key.generator
        n = G.order()
        k = random_k % n
        # Fix the bit-length of the random nonce,
        # so that it doesn't leak via timing.
        # This does not change that ks = k mod n
        ks = k + n
        kt = ks + n
        if bit_length(ks) == bit_length(n):
            p1 = kt * G
        else:
            p1 = ks * G
        r = p1.x() % n
        if r == 0:
            raise RSZeroError("amazingly unlucky random number r")
        s = (
            inverse_mod(k, n)
            * (hash + (self.secret_multiplier * r) % n)
        ) % n
        if s == 0:
            raise RSZeroError("amazingly unlucky random number s")
        return Signature(r, s)


message = b'get the flag'
hash_message = int(hashlib.sha1(message).hexdigest(), 16)
public_key = Public_key(generator_192, generator_192 * secret)
private_key = Private_key(public_key, secret)
sig = private_key.sign(hash_message, secret)
flag = 'flag{' + hashlib.md5(str(secret).encode()).hexdigest() + '}'
print(sig.r, sig.s)
# 827738947342412163466256986352463260575568151152429823167 827738947342412163577310637036310636847677110838127448036

代码很长,但上面的都是关于ecdsa加密的实现代码,真正有用的只有下面的部分

message = b'get the flag'
hash_message = int(hashlib.sha1(message).hexdigest(), 16)
public_key = Public_key(generator_192, generator_192 * secret)
private_key = Private_key(public_key, secret)
sig = private_key.sign(hash_message, secret)
flag = 'flag{' + hashlib.md5(str(secret).encode()).hexdigest() + '}'
print(sig.r, sig.s)
# 827738947342412163466256986352463260575568151152429823167 827738947342412163577310637036310636847677110838127448036

已知message,s,r,公钥曲线,还知道公钥私钥所选用的是相同的临时密钥secret,并且此secret的md5值就是flag

那么思路就很明确了,就是利用hash_message,s,r在有限域n的环境下得到k(dA)。

n作为椭圆曲线的秩,直接在ecdsa库里用order声明一下就行。

在这里插入图片描述

用最后一条等式来写脚本就ok了

from ecdsa.ecdsa import *
import hashlib
import gmpy2
message = b'get the flag'
n=generator_192.order()
r=827738947342412163466256986352463260575568151152429823167
s=827738947342412163577310637036310636847677110838127448036
e = int(hashlib.sha1(message).hexdigest(), 16)
tmp=gmpy2.invert(s-r,n)
k=(e*tmp)%n
flag = 'flag{' + hashlib.md5(str(k).encode()).hexdigest() + '}'
print(flag)

官方wp的思路我没看懂,主要还是数学基础不牢,好多数学符号都还不认识,呜呜呜

总结

写完快5点了,准备去吃早饭了

通过这个题目,主要还是学到了dsa数字签名方面的内容,通过网上找到的加密脚本,更深入了解了代码构造,对题目中自己写解题脚本帮助还是巨大的。

 

Mu__Chen
关注
  • 16
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ECDSA算法加解密验签
qq_39562689的博客
11-30 1019
前段时间,因为公司业务需求研究了一下加密验签算法,找到了网上一位大佬的研究代码参考 Java中加密算法介绍及其实现 - 枫飘雪落 - 博客园 在大佬的研究中说明中找到了我需要的算法介绍,但是下载了大佬的源码发现没有相关的实现(或者是我没找到?),就自己写了一个,再此处记录一下,也希望能帮到其他需要的同行。 最后附上我写的源码地址:Learning_algorithm: 算法学习 加解密验签算法参考: https://www.cnblogs.com/yanlong300/p/8884150.html
HTTPS学习笔记:(2)通过Wireshark分析HTTPS握手过程与协议概述
不积跬步,无以至千里;不积小流,无以成江海!
12-05 1657
TLS是一种密码学协议,用于保证两者之间的会话安全。整个SSL/TLS协议内容太多,本文只从握手,加密,套件等方面对TLS 1.2进行简要总结。 协议详细内容,可以参见: RFC:http://tools.ietf.org/html/rfc5246 CLOUDFLARE:https://www.cloudflare.com/learning/ssl/what-is-ssl/ 1. 握手(Han...
信安实验-RSA(备课)
ki10Moc的博客
09-26 1921
RSA基础
各类编码加解密签名验签在线工具
qq19970496的博客
04-01 1353
在线签名工具 http://www.metools.info/code/c82.html RSA签名/验签 在线编码 https://www.sojson.com/md5/ 添加链接描述 各类哈希计算 在线加密 http://tool.chacuo.net/cryptaes/ http://www.jsons.cn/urlencode/
Sage 常用指令
weixin_44885334的博客
03-25 1449
SageMath 在线文档:[https://doc.sagemath.org/html/en/reference/index.html](https://doc.sagemath.org/html/en/reference/index.html)
ECDSA数字签名
m0_57291352的博客
03-14 2632
ECDSA算法(深入浅出密码学笔记) ECDSA标准中的步骤与DSA方案的步骤在概念上紧密相连,但ECDSA中的离散对数问题是在椭圆曲线群中构建起来的。因此,实际计算一个ECDSA签名所执行的算术运算与DSA中的完全不同。 ECDSA标准是针对素数域Zp\mathbb{Z}_pZp​和有限域GF(2m)GF(2^m)GF(2m)上的椭圆曲线定义的 密钥生成 使用椭圆曲线EEE,其中:模数为ppp;系数为aaa和bbb;生成素数阶qqq的循环群的点A 选择一个随机整数ddd,且0<d<q0&lt
N1CTF2023 Crypto
qq_41626232的博客
10-23 408
学习密码一年多一点,所以还有两个题目前是没学到的较难的方向。待我明年再来。
国际安全领域顶会NDSS 2023录稿整理 (下)
aK031999的博客
03-11 1236
NDSS是网络和系统安全领域的四大顶级国际学术会议(BIG4)之一,第三十届会议于2023年2月27日到3月3日,在美国圣迭戈举办。本文将接着整理剩余论文,并对论文进行分类,感兴趣的小伙伴可以访问论文链接,进一步研究。中国密码学会2023年区块链密码学术会议 (CryptoBC 2023)通知。Diffusion扩散模型大白话讲解,看完还不懂?国际安全领域顶会NDSS 2023录稿整理 (上)ChatPDF来了,你还在为读不懂论文发愁么?ChatPDF来了,你还在为读不懂论文发愁么?用 ChatPDF!
Paillier 半同态加密:原理、高效实现方法和应用
阿里云技术
10-12 3382
一 简介 1 背景 《数据安全法》已于9月1日起正式实施,两个月后《个人信息保护法》也将开始施行,意味着数据安全和隐私保护方面的监管将会在年内陆续到位。 在合规收紧大背景下,“数据孤岛”现象日渐明显。如何实现安全的数据流通,保护数据隐私并发挥数据的价值,支持多方的联合计算,是各大数据平台亟需解决的问题。而隐私计算技术旨在实现“数据可用不可见”的目标,具有广阔的应用前景。在联合国隐私增强计算技术手册[35]中,列出了同态加密(Homomorphic Encryption, HE)、安全多方计算(Sec..
Hackthebox - Previse 靶场实战
路西菲尔的故事汇
08-09 1940
Hackthebox - Previse 靶场实战 靶场信息 靶场类型 信息搜集 使用nmap进行端口扫描 ┌──(root????root)-[~/Desktop] └─# nmap -A -sS -sC -sV -p- 10.10.11.104 Starting Nmap 7.91 ( https://nmap.org ) at 2021-08-08 22:27 CST Nmap scan report for 10.10.11.104 Host is up (0.25s latency). No
第十六届全国大学生信息安全竞赛 ——创新实践能力赛线上初赛------WP
m0_75178803的博客
06-05 1054
通过测试和题目名称得知存在python沙盒逃逸并且一次只能输入7个字符串,使用+进行拼接调用eval函数成功执行命令。用wireshark打开modbus.pcap文件,追踪TCP流。个字符(A-Z,2-7)组成,末尾可能会有‘=’,但最多有6。进行base32解密即可得到flag值。NSSCTF的CISCN的赛后环境。base32加密特征:密文由。逐条输入指令得到flag。【1】被加密的生产流量。
php jws 数据签名,python-jws:JSON Web 签名python实现
weixin_29614791的博客
03-19 288
python-jws???? This is Unmaintained????This library is unmaintained and you should probably use https://github.com/latchset/jwcrypto instead.For historical purposes, here are the docsAlso now works on Pytho...
sagemath中常用的命令
最新发布
2301_80550437的博客
05-16 879
sage: euler_phi(n) #求n的欧拉函数 sage: phi = n*prod([1 - 1/p for p in prime divisors(n)]);sage: R = IntegerModRing(97) or R = Zmod(97) #定义模数为97的环。有限域还有,GF(2)、GF(2^8,modulus=[1,0,0,1,1,1,0,0,1]) ……sage: ecc = EllipticCurve(GF(q), [a,b]) #初始化一条线。,−1,0,1,2,;
ECDSA_SVP_Attack
Bad_Monkey的博客
03-30 688
ECDSA_SVP_Attack 很有意思的一个点,之前做cryptoals的时候又遇到类似的点,但是只是简单了解了一下,没想到真的会有这样的漏洞,而且还是在2019年发现的,只能说太牛x了. 利用点,ECDSA中随机数k的选择不同,导致k的大小有差异,从而导致了在计算 sig中的 r 所用的时间也会不同,利用时间来判断k的位数,进而利用lattice进行分析和攻击.符号具体含义参考ECDSA实现...
CTF密码学总结(一)
热门推荐
沐一 · 林 的博客
11-01 3万+
目录 CTF 密码学总结 题目类型总结: 简单密码类型: 复杂密码类型: 密码学脚本类总结: 单独的密文类型(优先使用ciphey工具) 多层传统加密混合: Bugku的密码学的入门题/.-:(摩斯密码、url编码、出人意料的flag) 攻防世界之混合编码:(base64解密、unicode解密、ASCII转字符脚本、传统base64解密、ASCII解密) 单层传统加密: Bugku crypto之聪明的小羊:(题目描述暗示、栅栏密码) 攻防世界之转轮机加密:(转轮机加密、)
2021羊城杯 部分CRYPTO WP
机智的钢板的博客
09-13 5681
Bigrsa from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474658681539589842726033432568031364836913266105784068082329551223694895337089556841972133117083455781254146830929881949726774689281458380642302716738282547.
攻防世界-新手练习crypto12
jjxsir的博客
04-27 339
首先我们打开这个题目 打开附件1得到: 已知椭圆曲线加密Ep(a,b)参数为 p = 15424654874903 a = 16546484 b = 4548674875 G(6478678675,5636379357093) 私钥为 k = 546768 求公钥K(x,y) 由题目知道这是一个ECC加密算法题,我们需要求出x与y的值 想了解ECC加密算法可以去这个地址:** https://www.8btc.com/article/15089 ** 废话不多说,直接上代码: impor
中国剩余定理的证明
Phoenix
10-30 1万+
例如这样的式子 其中m1……mn互质,我们求里面的x,就会用到中国剩余定理。 为了方便后面表示,我们把s看成x,那么: 我们先选择其中的第一个式子来看,s % m1 = a1 那么我们可以把这个式子转换为s + m1*y = a1 ① 我们令M = m1*m2*……*mn,M1 = M / m1 由于m1与m2……mn互质,那么M1与m1是互质的 那么我们可以得到如下方程
SAGE(SAGEMATH)密码学基本使用方法
qq_39642801的博客
02-08 1万+
文章目录求逆元扩展欧几里得算法孙子定理(中国剩余定理)求离散对数欧拉函数 求逆元 inv=inverse_mod(30,1373) print(30*inv%1373) 扩展欧几里得算法 d,u,v=xgcd(20,30) print("d:{0} u:{1} v:{2}".format(d,u,v))#d:10 u:-1 v:1 孙子定理(中国剩余定理) 计算参考: https://blog...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值