-
-
[求助]关于FLEXLM中的RNG
-
发表于: 2009-9-18 22:05
-
据gcxiong兄弟所说,FLEXLM中实现的签名算法实现中有漏洞,可以恢复出私钥,进而实现ECC的完全破解。这两天仔细研究了下,和大伙讨论一下:
1、l_prikey_sign函数的核心如下:
sb_initialize();
sb_fipsRngOptionalInput(SHA(MSG));
sb_ecdsaSignBegin();
sb_ecdsaSignEnd();
2、在上述算法中,sb_initialize根据私钥d,产生随机数A。这个过程已经搞清楚了;
sb_fipsRngOptionalInput利用SHA(MSG)的值来更新随机数发生器,过程也搞清楚了;
sb_ecdsaSignEnd将产生随机数B;
3、签名所用的k=(A+B) mod n(n是曲线的阶),签名的结果s=k^-1*(e+dr) mod n
4、如果有两个不同的签名,则可以计算出私钥d:
k1*s1=e1+d*r1
k2*s2=e2+d*r2
d=(k1*s1-k2*s2-e1+e2)/(r1-r2) mod n
进一步:
d=(A*s1+B1*s1-A*s2-B2*s2-e1+e2)/(r1-r2) mod n
上面的s1、s2、e1、e2、r1、r2均可以利用正版license文件计算得出,所不知道的就是A、B1、B2的值。
现在的问题是,如何得到A、B1、B2的值?如果A和B之间存在一定的关系(必然的),特别是B,如果能够搞清楚B的产生原理,应该可以破解掉FLEXLM中的ECC。
我现在发现一些规律:
1、B与私钥d和MSG都有关系;
2、B的形成好像还参与到曲线上的运算;
由于certicom的库没有源代码,所以只能摸索的前进,尤其是曲线参与了运算,更麻烦。
有没有高手指点一二,多谢了!
最后,FlexLM的随机数使用方法很有问题,应该可以解算出私钥的...
1、l_prikey_sign函数的核心如下:
sb_initialize();
sb_fipsRngOptionalInput(SHA(MSG));
sb_ecdsaSignBegin();
sb_ecdsaSignEnd();
2、在上述算法中,sb_initialize根据私钥d,产生随机数A。这个过程已经搞清楚了;
sb_fipsRngOptionalInput利用SHA(MSG)的值来更新随机数发生器,过程也搞清楚了;
sb_ecdsaSignEnd将产生随机数B;
3、签名所用的k=(A+B) mod n(n是曲线的阶),签名的结果s=k^-1*(e+dr) mod n
4、如果有两个不同的签名,则可以计算出私钥d:
k1*s1=e1+d*r1
k2*s2=e2+d*r2
d=(k1*s1-k2*s2-e1+e2)/(r1-r2) mod n
进一步:
d=(A*s1+B1*s1-A*s2-B2*s2-e1+e2)/(r1-r2) mod n
上面的s1、s2、e1、e2、r1、r2均可以利用正版license文件计算得出,所不知道的就是A、B1、B2的值。
现在的问题是,如何得到A、B1、B2的值?如果A和B之间存在一定的关系(必然的),特别是B,如果能够搞清楚B的产生原理,应该可以破解掉FLEXLM中的ECC。
我现在发现一些规律:
1、B与私钥d和MSG都有关系;
2、B的形成好像还参与到曲线上的运算;
由于certicom的库没有源代码,所以只能摸索的前进,尤其是曲线参与了运算,更麻烦。
有没有高手指点一二,多谢了!
最后,FlexLM的随机数使用方法很有问题,应该可以解算出私钥的...
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
楼主的研究有没有新进展?
|
|
|
|
|
|
|
|
|
|
|
|
最近一直在跟flexlm里的ECC算法,里面的随机数产生可真是复杂啊!
还有没有人也在研究这个啊?大家交流下啊~~~~ 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1,随机数好像是与曲线相关的。随机数的最后一个变化还没时间跟完,但应该与曲线运算相关。
2,大家都希望有漏洞,并且是能够利用起来的漏洞! 
|
|
|
|
|
|
2009-09-18, 22:05:06 【求助】关于FLEXLM中的RNG 又是一年过去!甚是可惜!甚是可惜!
|
