crypto-writeup-public

DEFCON 2020 quals | notbefoooled

ecdlp anomalous_curve smart_attack hensel's_lift canonical_lift

ECDLP で、 $E(F_p).order() == p$ となる（＝anomalous curveとなる）ように $p, a, b$ を渡すと適当な原始根 $P$ を作ってくれるので、こちらからは $Q$ を送る。すると向こうはSmart Attackで $Q = xP$ となる $x$ を復元してくる。この攻撃が失敗するようなパラメータと $Q$ を選べれば勝ち

Uninteded solution

python2系で input を使っているので print(open('/flag').read()) を送ると終わる。は？

Intended solution

Smart Attackは内部でHensel's Liftを使っているんだけど、これが失敗するケースがあるらしい（なんでもcanonical liftになるらしい https://crypto.stackexchange.com/questions/70454/why-smarts-attack-doesnt-work-on-this-ecdlp）。どういうときになるかと言うと、