（九千七-星河襟）椭圆曲线加密（ECC, Elliptic Curve Cryptography）及其例题

椭圆曲线加密（ECC）是一种基于椭圆曲线数学的公钥加密技术。它提供了一种高效的加密方法，能够在较小的密钥长度下实现与传统加密算法（如RSA）相同的安全级别。以下是ECC的主要特点和工作原理的总结：

1. 基本概念

椭圆曲线：ECC使用的是定义在有限域上的椭圆曲线。一条标准的椭圆曲线方程可以表示为：

[ y^2 = x^3 + ax + b ]

其中，a和b是常数，并且满足条件 (4a^3 + 27b^2 \neq 0) 以确保曲线没有奇点。

有限域：ECC通常在有限域上进行运算，最常见的有限域是素数域 (GF§) 和二进制扩展域 (GF(2^m))。有限域中的运算结果总是有限的，这使得它们适合用于加密。

椭圆曲线点加法：ECC的核心操作是椭圆曲线上点的加法。给定两个点 (P) 和 (Q)，可以通过几何方法或代数公式计算出第三个点 (R = P + Q)。如果 (P = Q)，则称为点的倍乘，记作 (2P)。

标量乘法：ECC中最常用的操作是标量乘法，即给定一个点 (P) 和一个整数 (k)，计算 (kP)。这个操作相当于将点 (P) 加到自身 (k) 次。标量乘法是ECC中最重要的单向函数，难以通过已知的结果反推出原始的 (k)。

2. 安全性和效率

安全性：ECC的安全性基于椭圆曲线离散对数问题（ECDLP），即给定椭圆曲线上的两个点 (P) 和 (Q)，找到一个整数 (k) 使得 (Q = kP) 是非常困难的。ECDLP的难度使得ECC在较小的密钥长度下也能提供高强度的安全性。

效率：相比传统的RSA加密，ECC可以在更短的密钥长度下提供相同的安全级别。例如，160位的ECC密钥提供的安全性相当于1024位的RSA密钥。因此，ECC具有更高的计算效率和更低的存储需求，特别适合用于资源受限的环境（如移动设备、物联网设备等）。

3. 应用场景

密钥交换：ECC广泛应用于Diffie-Hellman密钥交换协议（ECDH），允许双方在不安全的通信信道上安全地协商共享密钥。

数字签名：ECC用于生成数字签名（ECDSA, Elliptic Curve Digital Signature Algorithm），广泛应用于SSL/TLS协议、区块链（如比特币）等领域。

加密：ECC可以用于加密消息（ECIES, Elliptic Curve Integrated Encryption Scheme），结合对称加密算法（如AES）来实现高效的安全通信。

4. 主要算法

ECDH（Elliptic Curve Diffie-Hellman）：用于密钥交换，允许两方在不安全的通信信道上安全地协商共享密钥。

ECDSA（Elliptic Curve Digital Signature Algorithm）：用于生成和验证数字签名，确保消息的完整性和不可否认性。

ECIES（Elliptic Curve Integrated Encryption Scheme）：用于加密消息，结合ECDH和对称加密算法（如AES）来实现高效的安全通信。

5. 优点

高安全性：ECC在较小的密钥长度下提供高强度的安全性，抗量子计算攻击的能力也比传统加密算法更强。

高效性：ECC的计算复杂度较低，适合用于资源受限的设备和高性能要求的应用场景。

灵活性：ECC支持多种有限域和曲线参数，可以根据具体需求选择合适的曲线和参数。

6. 缺点

实现复杂性：ECC的实现相对复杂，尤其是需要处理有限域上的运算和椭圆曲线点的加法。如果实现不当，可能会引入安全漏洞。

专利问题：某些特定的椭圆曲线和算法可能受到专利保护，使用时需要注意法律问题。不过，近年来许多常用的曲线（如NIST推荐的曲线）已经不再受专利限制。

侧信道攻击：ECC实现中可能存在侧信道攻击的风险，特别是当标量乘法的实现不够优化时。因此，实现时需要考虑防侧信道攻击的措施。

7. 常用椭圆曲线

NIST曲线：美国国家标准与技术研究院（NIST）推荐的一系列椭圆曲线，如P-256、P-384、P-521等。

Brainpool曲线：由Brainpool联盟提出的一系列椭圆曲线，旨在提供更高的安全性并避免专利问题

Edwards曲线：如Ed25519和Ed448，这些曲线具有更好的性能和安全性，广泛应用于现代加密协议中。

Montgomery曲线：如Curve25519，这类曲线在标量乘法方面具有高效的实现，广泛应用于Diffie-Hellman密钥交换。

8. 总结

ECC作为一种高效的公钥加密技术，已经在现代密码学中占据了重要地位。它通过较小的密钥长度提供了高强度的安全性，适用于各种应用场景，特别是在资源受限的环境中表现出色。尽管实现复杂性较高，但随着硬件和软件的不断进步，ECC的应用范围正在不断扩大。

CTF例题：

**[第五空间 2021]ecc **

题目如下：

print 'Try to solve the 3 ECC'

from secret import flag
from Crypto.Util.number import *
assert(flag[:5]=='flag{')
flag = flag[5:-1]
num1 = bytes_to_long(flag[:7])
num2 = bytes_to_long(flag[7:14])
num3 = bytes_to_long(flag[14:])

def ECC1(num):
	p = 146808027458411567
	A = 46056180
	B = 2316783294673
	E = EllipticCurve(GF(p),[A,B])
	P = E.random_point() 
	Q = num*P
	print E
	print 'P:',P
	print 'Q:',Q

def ECC2(num):
	p = 1256438680873352167711863680253958927079458741172412327087203
	#import random
	#A = random.randrange(389718923781273978681723687163812)
	#B = random.randrange(816378675675716537126387613131232121431231)
	A = 377999945830334462584412960368612
	B = 604811648267717218711247799143415167229480
	E = EllipticCurve(GF(p),[A,B])
	P = E.random_point() 
	Q = num*P
	print E
	print 'P:',P
	print 'Q:',Q
	factors, exponents = zip(*factor(E.order()))
	primes = [factors[i] ^ exponents[i] for i in range(len(factors))][:-1]
	print primes
	dlogs = []
	for fac in primes:
		t = int(int(P.order()) / int(fac))
		dlog = discrete_log(t*Q,t*P,operation="+")
		dlogs += [dlog]
		print("factor: "+str(fac)+