1. **Factoriza** $m = 235461523121012742661$ **usando el método de** $p - 1$ **Pollard. Hint: considera** $ilcm(1, 2,\dots,50)$ **y** $a = 2$**.**



Tomamos $B=50$ y $a=2$, y sea $k=mcm(1,2,\dots,50)$. Definimos las siguientes funciones para calcular el mcd y el mcm:

In [48]:
def euclides(a, b):
    
    if b == 0:
        return (a, 1, 0)
    
    else:
        q = a // b
        r = a % b
        (mcd, u0, v0) = euclides(b, r)
        u = v0
        v = u0-q*v0
        return (mcd, u, v)
    

def mcd(a,b):
    return euclides(a,b)[0]
    

def mcm(a,b):
    return a*b // mcd(a,b)


def mcm_lista(numeros):
    mcm_resultado = numeros[0]
    for i in range(1,len(numeros)):
        mcm_resultado = mcm(mcm_resultado, numeros[i])
    return mcm_resultado

In [4]:
m = 235461523121012742661

B = 50
a = 2

numeros = [i for i in range(1, B+1)]
k = mcm_lista(numeros)
k

3099044504245996706400

Ahora, para calcular $(a^k-1,m)$, en primer lugar usaremos la siguiente función que realiza la exponenciación modular rápida:

In [5]:
def exp_modular(base, exponente, modulo):
    a = 1
    base = base % modulo
    while exponente > 0:
        if exponente % 2 == 1:
            a = (a * base) % modulo
        exponente = exponente //2
        base = (base * base) % modulo
    return a

In [7]:
ak = exp_modular(a, k, m)
p = mcd(ak-1,m)
p

274951

Como $(a^k-1,m)=27451 \notin \{1,m\}$, entonces $p=274951$ es un divisor de $m$. Comprobemos que es primo:

In [8]:
from sympy import *

isprime(p)

True

El otro divisor de $m$ será:

In [10]:
q = int(m/p)
q

856376311128211

que también es primo:

In [11]:
isprime(q)

True

Por tanto, la factorización de $m$ será $m = 274951 \cdot 856376311128211$.

2. **Sea** $x_0 = 1$  **y** $f(x)=x^2+1$  **¿Funciona el método de ró con**  $n=6$ **? ¿ Y con** $n=10$  **y** $n=25$**?**



Empecemos con $n=6$. Considerando la función en este caso de manera que $f: \mathbb{Z}_{6} \rightarrow \mathbb{Z}_{6}$, tenemos:

$x_0 = 1$ 

$x_1 = f(x_0) = 1^2 + 1 = 2$

$x_2 = f(x_1) = 2^2+1 = 5$ 

Tenemos $(x_2-x_1,n) = (5-2,6) = (3,6) =3$, por lo que $3$ es factor y obtenemos $6 = 3\cdot 2$ 

Por tanto, el método funciona para $n =6$ 


Veamos ahora con $n=10$. Considerando la función en este caso de manera que $f: \mathbb{Z}_{10} \rightarrow \mathbb{Z}_{10}$, tenemos:

$x_0 = 1$ 

$x_1 = f(x_0) = 1^2 + 1 = 2$

$x_2 = f(x_1) = 2^2+1 = 5$ 

Tenemos $(x_2-x_1,n) = (5-2,10) = (3,10) =1$, por lo que seguimos buscando en la secuencia, buscamos ahora $x_4$.

$x_4 = f(f(x_2)) = f(6) = 7$. Ahora, $(x_4 - x_2,n) = (7-5,10) = (2,10) = 2$, por lo que $2$ es factor de $10$ y obtenemos $10 = 2 \cdot 5$ 

Por tanto, el método funciona para $n = 10$ 


Por último, vamos con $n=25$. Considerando la función en este caso de manera que $f: \mathbb{Z}_{25} \rightarrow \mathbb{Z}_{25}$, tenemos:

$x_0 = 1$ 

$x_1 = f(x_0) = 1^2 + 1 = 2$

$x_2 = f(x_1) = 2^2+1 = 5$ 

Al intentar calcular $x_4$, nos damos cuenta de que $x_3 = f(x_2) = 1$. Como la secuencia que se genera es cíclica, obtenemos $\{ 1,2,5,1,2,5,1,2,5,1,2,5,..... \}$ 

Dentro de dicha secuencia, las restas posibles entre los valores son siempre coprimas con $25$, por lo que en este caso el método no va a funcionar. 


**3. Factoriza el número 46001 usando la criba cuadrática. Puedes usar las funciones de legendre_symbol en Python (con ”from sympy import legendre symbol”) y factorint (usando ”from sympy import factorint”) para calcular la base de factores y los B-números suaves.**

In [3]:
import math
import numpy as np
from sympy import legendre_symbol
from sympy import factorint
from sympy import nextprime
n= 46001 
B=math.trunc(np.exp((1/2)*np.sqrt((math.log(n)*math.log(math.log(n))))))+10
print(B)

22


In [4]:
def Base(B,n):
    i=3
    Base=[-1,2]
    while i<B:
        if legendre_symbol(n,i)==1:
            Base=Base+[i]
        i=nextprime(i)
    return Base

In [5]:
Base=Base(B,n)
print(Base)

[-1, 2, 5, 7, 17]


Lo primero que hacemos es importar las funciones que necesitamos y calculamos la B (la hacemos un poco más grande que la vista en los apuntes ya que era muy pequeña). Unavez tenemos la B, que es 22, calculamos la Base incluyendo el -1 y el 2 y todos los primos menores que 22 y tales que son residuos cuadráticos de n y nos queda la base $(-1,2,5,7,17)$.

In [6]:
def mod(a,n):
    k=a//n
    num=a-k*n
    return(num)
def orden(t,p):
    i=1
    t1=0
    while t1 !=1:
        t1=t**(2**(i))%p
        i=i+1
    return i-1
def NORC(p):
    i=2
    bo=True
    while bo:
        if legendre_symbol(i,p)!=1:
            bo=False
        else:
            i=i+1
    return i
def Tonelli(a,p):
    a=mod(a,p)
    s=factorint(p-1)[2]
    d=int((p-1)/(2**(factorint(p-1)[2])))
    z=NORC(p)
    r=a**((d+1)/2)%p
    t=mod(a**d,p)
    c=mod(z**d,p)
    while t != 1:
        i=orden(t,p)
        b=(c**(2**(s-i-1)))%p
        r=(b*r)%p
        c=(b**2)%p
        t=(t*(b**2))%p
        s=i
    return(int(r))

In [7]:
def dic(Base,n):
    dic={}
    for i in range(2, len(Base)):
        a=Tonelli(n,Base[i])
        dic[Base[i]]=[a,-(a-Base[i])]
    return dic

In [8]:
dic=dic(Base,n)
print(dic)

{5: [1, 4], 7: [2, 5], 17: [4, 13]}


In [9]:
m=math.trunc(np.sqrt(n))
print(m)
M=B**2
print(M)
S=[]
for i in range(m+1,m+M+1):
    S=S+[i]
print(S)

214
484
[215, 216, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 249, 250, 251, 252, 253, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 266, 267, 268, 269, 270, 271, 272, 273, 274, 275, 276, 277, 278, 279, 280, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314, 315, 316, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 332, 333, 334, 335, 336, 337, 338, 339, 340, 341, 342, 343, 344, 345, 346, 347, 348, 349, 350, 351, 352, 353, 354, 355, 356, 357, 358, 359, 360, 361, 362, 363, 364, 365, 366, 367, 368, 369, 370, 371, 372, 373, 374, 375, 376, 377, 378, 379, 380, 381, 382, 383, 384, 385, 386, 387, 388, 389, 390, 391, 392, 393, 394, 395, 396, 397, 398, 399, 400, 401, 402, 403, 404, 405, 406, 407, 408, 409, 410, 411, 412, 4

In [10]:
def mod_min(a,n):
    k=a//n
    num=a-k*n
    if num >n//2:
        num=num-n
    return(num)

Hasta aquí añadimos muchas de las funciones auxiliares y además creamos un diccionario con las raíces cuadradas de cada uno de los elementos de la base (excepto el -1 y el 2) que nos ayuda después en la criba para saber que valores serán divisibles por dicho primos y cuales no sin necesidad de calcular las divisiones. También creamos la $S=\{215,216,...,697,698\}$.

In [11]:
suaves=[]
xs=[]
k=0

#while len(suaves)<=len(Base) and k < len(S):
while len(suaves)<=len(Base) and k < len(S):
    i=S[k]
    num=mod_min(i**2-n,n)
    num1=num
    if num<0:
        num1=(-1)*num1
        num=(-1)*num
    if num/2==num//2:
        while num1/2==num1//2:
            num1=num1/2
    for j in dic:
        #print(num%j)
        if i%j==dic[j][0] or i%j==dic[j][1]:
            while num1/j==num1//j:
                num1=num1/j
    #print(num1,"*")
    if num1==1:
        suaves=suaves+[num]
        xs=xs+[i]
    k=k+1
print(suaves)
print(xs)

[224, 1088, 1960, 4624, 16000, 17000]
[215, 217, 219, 225, 249, 251]


Aquí realizamos la criba y obtenemos los $f(x_i)$ que son B-suaves y guardamos también dichas $x_i$'s. Como la base tiene 5 elementos con 6 valores nos debería valer.

In [12]:
def devuelve_es(suaves,Base):
    es=[]
    for i in suaves:
        e=np.zeros(len(Base))
        if i<0:
            e[0]=1
            i=(-1)*i
        n=factorint(i)
        if 2 in n:
            e[1]=n[2]
        for j in range(2,len(Base)):
            if Base[j] in n:
                e[j]=n[Base[j]]
        es=es+[e]
    return es

In [13]:
devuelve_es(suaves, Base)

[array([0., 5., 0., 1., 0.]),
 array([0., 6., 0., 0., 1.]),
 array([0., 3., 1., 2., 0.]),
 array([0., 4., 0., 0., 2.]),
 array([0., 7., 3., 0., 0.]),
 array([0., 3., 3., 0., 1.])]

In [14]:
x=mod(xs[2]*xs[4],n)
y=mod((2**5)*(5**2)*(7**1),n)
d=math.gcd(x-y,n)

print(d)
print(n/d)

293
157.0


Creamos otra función la cual nos devuelve el vector e para cada uno de los elementos que hemos obtenido antes en la criba y observándolos vemos que si combinamos el 3 con el 5 obtenemos todos los exponentes pares, por lo que generamos el $x$ y el $y$ y calculamos el máximo común divisor de $x-y$ y n obteniendo un valor no trivial, el 293, por lo que este debe ser uno de los factores de n y si dividimos n entre d obtenemos el otro valor, el 157, obteniendo así la factorización de n.

4. **Factoriza** $n = 456259$ **usando la criba cuadrática.**



Tomamos $B=23$, $p_1= -1$, $p_2 = 2$, $a_2=1$, y buscamos todos los primos impares $p \leq B$ t.q. $\left( \frac{n}{p} \right) = 1$:

$\left( \frac{456259}{3} \right) = \left( \frac{1}{3} \right) = 1 \Longrightarrow p_3 = 3$

$\left( \frac{456259}{5} \right) = \left( \frac{4}{5} \right) = \left( \frac{2}{5} \right)^2 = 1 \Longrightarrow p_4 = 5$

$\left( \frac{456259}{7} \right) = \left( \frac{6}{7} \right) = \left( \frac{2}{7} \right) \left( \frac{3}{7} \right)  = (*) 1\cdot \left(- \left( \frac{7}{3} \right) \right) = -\left( \frac{1}{3} \right) = -1$

$(*)$ Porque $7=8\cdot 1-1$ y $7 \equiv 3$ mod $4$.

$\left( \frac{456259}{11} \right) = \left( \frac{1}{11} \right) = 1 \Longrightarrow p_5 = 11$

$\left( \frac{456259}{13} \right) = \left( \frac{11}{13} \right) = (**) \left( \frac{13}{11} \right) = \left( \frac{2}{11} \right)  = (***) -1$

$(**)$ Porque $13 \equiv 1$ mod $4$ y $(***)$ porque $11=8\cdot 1+3$.

$\left( \frac{456259}{17} \right) = \left( \frac{13}{17} \right) = (****) \left( \frac{17}{13} \right) = \left( \frac{4}{13} \right)  = \left( \frac{2}{13} \right)^2 = 1 \Longrightarrow p_6 = 17$

$(****)$ Porque $17 \equiv 13 \equiv 1$ mod $4$.

$\left( \frac{456259}{19} \right) = \left( \frac{12}{19} \right) = \left( \frac{2}{19} \right)^2 \left( \frac{3}{19} \right) = \left( \frac{3}{19} \right) = (*****) - \left( \frac{19}{3} \right) = -\left( \frac{1}{3} \right) = -1$

$(*****)$ Porque $19 \equiv 3$ mod $4$.

$\left( \frac{456259}{23} \right) = \left( \frac{8}{23} \right) = \left( \frac{2}{23} \right)^3 =  \left( \frac{2}{23} \right) = (******) 1 \Longrightarrow p_7 = 23$

$(******)$ Porque $23=8\cdot 3-1$.

La base de factores es $\mathcal{B} = \{p_1,\dots,p_7\} = \{-1,2,3,5,11,17,23\}$. 

También podríamos haber calculado los símbolos de Legendre usando la siguiente función:



In [4]:
def simbolo_legendre(a, p):
    sl = a**((p - 1)//2) % p
    if sl == p-1:
        sl = -1
    return sl

Ahora, para $3 \leq i \leq 7$, busquemos las soluciones $\pm a_i$ de $x^2 \equiv n$ mod $p_i$. En los casos en los que $p_i \equiv 1$ mod $4$ usaremos el algoritmo de Tonelli-Shanks con la siguiente función:

In [5]:
def tonelli_shanks(a, p):
    if simbolo_legendre(a, p) != 1:
        return None
    d = p - 1
    s = 0
    while d % 2 == 0:
        d = d // 2
        s += 1
    if s == 1:
        return a**((p + 1) // 4) % p
    for z in range(2, p):
        if simbolo_legendre(z, p) == -1:
            break
    c = z**d % p
    r = a**((d + 1) // 2) % p
    t = a**d % p
    s1 = s
    while t != 1:
        for i in range(1, s1):
            if (t**(2**i) % p) == 1:
                break
        b = c**(2**(s1 - i - 1)) % p
        r = (r * b) % p
        t = (t * b**2) % p
        c = (b**2) % p
        s1 = i
    return r

In [6]:
n = 456259
B = 23
a2 = 1

Para $p_3 = 3$, como $p_3 \equiv 3$ mod $4$, por un teorema sabemos que $n^{\frac{p_3+1}{4}}$ mod $p_3$ es raíz cuadrada de $n$, entonces:

In [7]:
p3 = 3
a3 = n**((p3+1)//4) % p3
a3

1

Es decir, que las soluciones de $x^2 \equiv n$ mod $p_3$ son $\pm a_3 = \pm 1 \equiv \{1,2\}$ mod $3$.

Para $p_4 = 5$, como $p_4 \equiv 1$ mod $4$, debemos usar el algoritmo de Tonelli-Shanks para calcular las raíces cuadradas de $n$ mod $p_4$:

In [8]:
p4 = 5
a4 = tonelli_shanks(n,p4)
a4

3

Es decir, que las soluciones de $x^2 \equiv n$ mod $p_4$ son $\pm a_4 = \pm 3 \equiv \{3,2\}$ mod $5$.

Para $p_5 =11$, como $p_5 \equiv 3$ mod $4$, de nuevo tenemos que $n^{\frac{p_5+1}{4}}$ mod $p_5$ es raíz cuadrada de $n$, entonces:

In [9]:
p5 = 11
a5 = n**((p5+1)//4) % p5
a5

1

Es decir, que las soluciones de $x^2 \equiv n$ mod $p_5$ son $\pm a_5 = \pm 1 \equiv \{1,10\}$ mod $11$.

Para $p_6 = 17$, como $p_6 \equiv 1$ mod $4$, debemos usar el algoritmo de Tonelli-Shanks para calcular las raíces cuadradas de $n$ mod $p_6$:

In [10]:
p6 = 17
a6 = tonelli_shanks(n,p6)
a6

8

Es decir, que las soluciones de $x^2 \equiv n$ mod $p_6$ son $\pm a_6 = \pm 8 \equiv \{8,9\}$ mod $17$.

Por último, para $p_7 =23$, como $p_7 \equiv 3$ mod $4$, tenemos que $n^{\frac{p_7+1}{4}}$ mod $p_7$ es raíz cuadrada de $n$, entonces:

In [11]:
p7 = 23
a7 = n**((p7+1)//4) % p7
a7

13

Es decir, que las soluciones de $x^2 \equiv n$ mod $p_7$ son $\pm a_7 = \pm 13 \equiv \{13,10\}$ mod $23$.

Sea $m=[\sqrt n] = 675$ y $M=B^2 = 529$: 



In [12]:
import numpy as np

m = int(np.sqrt(n))
m

675

In [13]:
M = B**2
M

529

Sea $S = \{m-M, m-M+1, \dots, m-1, m, m+1, \dots, m+M-1, m+M \} = \{146, 147, \dots, 1204\}$.

Usamos la siguiente función para cribar, y así obtenemos los números suaves relativamente a $\mathcal{B}$:

In [14]:
def f(x,n):
    return x**2 - n


def criba(B,S,a,n):
    suaves_B = []
    for x in S:
        Px = f(x,n)
        for i in range(2, len(B)):
            pi = B[i]
            if (x - a[i-2]) % pi == 0 or (x + a[i-2]) % pi == 0:
                while Px % pi == 0:
                    Px = Px // pi
        if Px % 2 == 0:
            while Px % 2 == 0:
                Px = Px // 2
        if Px < 0:
            Px = -Px
        if Px == 1:
            suaves_B.append(x)
    return suaves_B

In [15]:
p1 = -1
p2 = 2
B = [p1,p2,p3,p4,p5,p6,p7]
S = list(range(146, 1205))
a = [a3,a4,a5,a6,a7]

suaves_B = criba(B,S,a,n)
suaves_B

[197, 263, 439, 529, 628, 637, 672, 677, 703, 722, 723, 749, 772, 892]

Sea $k=14$ el número de números suaves relativamente a $\mathcal{B}$. Como $k>t$, siendo $t=7$ el número de factores en la base $\mathcal{B}$, entonces creamos los vectores de exponentes $w_i = (e_{i1},\dots,e_{it})$ tales que:

$x_i^2 \equiv \prod_{j=1}^t p_j^{e_{ij}}$ mod $n$

y los añadimos en una matriz $A$ que obtendremos con la siguiente función:

In [70]:
def vec_exponentes(B,a,suaves_B,n):
    A = np.empty((0, len(B)), int)
    for x in suaves_B:
        Px = f(x,n)
        w = []
        if Px<0:
            w.append(1)
        else:
            w.append(0)
        for i in range(1, len(B)):
            pi = B[i]
            e = 0
            if (x - a[i-2]) % pi == 0 or (x + a[i-2]) % pi == 0:
                while Px % pi == 0:
                    Px = Px // pi
                    e += 1
            w.append(e)
        A = np.vstack([A, w])
    return A

In [71]:
A = vec_exponentes(B,a,suaves_B,n)
A

array([[1, 1, 1, 2, 2, 0, 1],
       [1, 1, 2, 1, 1, 1, 1],
       [1, 1, 2, 0, 4, 0, 0],
       [1, 1, 6, 0, 2, 0, 0],
       [1, 0, 2, 4, 1, 0, 0],
       [1, 1, 3, 1, 1, 1, 0],
       [1, 0, 0, 2, 1, 1, 0],
       [0, 1, 2, 1, 0, 0, 1],
       [0, 1, 1, 2, 1, 0, 1],
       [0, 0, 2, 2, 0, 2, 0],
       [0, 1, 0, 1, 0, 2, 1],
       [0, 1, 2, 0, 1, 0, 2],
       [0, 0, 5, 2, 0, 0, 1],
       [0, 0, 1, 1, 3, 1, 0]])

In [18]:
V = A % 2

Ahora observamos que, por ejemplo, tomando $i_1 = 8$ e $i_2 = 11$, entonces $v_{i1}+v_{i2} = (0,\dots,0)$, donde $v_j$ representa la fila $j$ de la matriz V anterior.

In [21]:
(V[7] + V[10]) % 2

array([0, 0, 0, 0, 0, 0, 0])

A continuación, con la siguiente función construimos los valores $x$ e $y$ para la factorización:

$x = x_{i1}x_{i2}$, con $x_j, j \in 1,\dots,k$ los números suaves relativamente a $\mathcal{B}$

$y = \prod_{i=1}^7 p_j^{(e_{i1} + e_{i2})/2}$ mod $n$

In [82]:
def factorizacion(B,suaves_B,A,i,n):
    x = 1
    for ik in i:
        x = (x * suaves_B[ik]) % n
        
    y = 1
    for j in range(len(B)):
        e = 0
        for ik in i:
            e += A[ik,j]
        y = (y * B[j]**(e//2)) % n
            
    return x,y

Una vez obtenidos $x$ e $y$ se calcula $mcd(x-y,n)$ y $mcd(x+y,n)$, y como son distintos de $1$ y de $n$, entonces estos son los factores de $n$.

In [85]:
x,y = factorizacion(B,suaves_B,A,[7,10],n)

mcd(x-y,n), mcd(x+y,n)

(467, 977)

En conclusión:

$n = 467 \cdot 977$

In [88]:
n

456259

In [89]:
467*977

456259

5. **Factoriza el número** $5963$ **usando la criba cuadrática. Prueba varios valores de** $B$ **y de intervalos. Puedes incluir el** $-1$ **en tu base de factores.**



Haciendo el respectivo cálculo, tenemos que $B = 8$ sería el valor con el que el método funcionaría, sin embargo, no llegamos a ningún resultado ya que $\left( \frac{5963}{i} \right) \neq 1 , i=3,5,7$ .

Por tanto, probamos por ejemplo con $B = 13$. 



In [3]:
def simbolo_legendre(a, p):
    sl = a**((p - 1)//2) % p
    if sl == p-1:
        sl = -1
    return sl

print(simbolo_legendre(5963,11))
print(simbolo_legendre(5963,13))

1
1


Vemos que tomando este valor, nos queda la base de factores $\{ -1, 2, 11,13 \}$ .  En este caso tenemos $m=[\sqrt 5963] = 77$. 

Considerando la función $f(x) = x^2-5963$, podemos ver que $f(77+1) = 78^2 - 5963 = 121 = 11^2$, por lo que obtenemos un cuadrado perfecto para el factor $11$.

De esta forma, consideramos el vector de exponentes $(0,0,2,0)$, que en binario tiene todas sus componentes nulas.

Por tanto, el método nos da $x \equiv 78 \mod 5963$ e $y \equiv 11 \mod 5963$.

Ahora, vemos que $(x-y,n) = (78-11, 5963) = (67,5963) = 67$, por lo que al ser este número un divisor no trivial del número a  factorizar, tenemos que $67$ es divisor de $5963$.

Obtenemos pues la factorización $5963 = 67 \cdot 89$


**6. Rompe, sin ayuda de una función que factorice, la siguiente clave del RSA: $(n, e) =(536813567, 3602561)$, sabiendo que n se factoriza en un número de Mersenne y uno de Fermat (i.e., busca factores de n de estas formas).**

In [3]:
import math
import numpy as np
n=536813567
m=math.trunc(np.sqrt(n))+1

In [4]:
def es_cuadrado(n):
    bool=False
    if np.sqrt(n)==int(np.sqrt(n)):
        bool=True
    return(bool)

In [5]:
num=m**2-n
while es_cuadrado(num)==False:
    m=m+1
    num=m**2-n
r=np.sqrt(num)

In [6]:
print(m+r)
print(m-r)
print((m+r)*(m-r))

65537.0
8191.0
536813567.0


Primero definimos una función que nos diga si un número es cuadrado perfecto o no lo es. Definimos m como la parte entera de la raíz de n más uno y a partir de ahí vamos probando si ese número al cuadrado menos n es cuadrado perfecto o no y si no lo es sumamos uno a m y volvemos a probar. Como sabemos que uno de los factores es de Fermat estará cercano a la raíz de n y por tanto no debería necesitar muchas iteraciones y así obtenemos que los factores de n son 65537 y 8191.

Ahora lo vamos a hacer utilizando el método p-1 de Polland al saber que un factor es un número de Mersenne.

In [7]:
def devuelve_k(B):
    li=[]
    k=1
    for i in range(2,B+1):
        li=li+[i]
    for j in li:
        k=math.lcm(k,j)
    return k

In [8]:
a=2
k=1
B=1
n=536813567
while math.gcd(a**k-1,n)==1 or math.gcd(a**k-1,n)==n:
    B=B+1
    k=devuelve_k(B)
print(math.gcd(a**k-1,n))

8191


Para ello primero creamos una función que nos devuelve el máximo común de todos los números anteriores a un dado B, es decir, la k del método p-1 de Polland. Una vez hecho esto vamos modificando dicha B, hasta que nos de que $(2^k-1, n)$ es un divisor propio de n. Hacemos este bucle y obtenemos (al igual que con el método de Fermat) que uno de los factores es 8191 y el otro será por tanto 65537, factorizando así n y rompiendo por tanto la clave del RSA. (Usamos la base 2 porque sabemos que es un número de Mersenne, es decir de la forma $2^k-1$, sino podríamos ir modificando también la base y no solo la B).

7. **Utilizar el algoritmo paso de bebé\-paso de gigante de Shanks para resolver el logaritmo discreto siguientes:**

**\(a\)** $11^x = 21$ **en** $\mathbb{F}_{71}$

Queremos resolver $21 \equiv 11^x$ mod $71$. Sean $b=21$, $g=11$ y $p=71$, entonces queremos resolver el logaritmo discreto $b \equiv g^x$ mod $p$.

Sea además $m = \lfloor \sqrt p \rfloor = 8$.

In [17]:
b=21
g=11
p=71
m = int(np.sqrt(p))
m

8

Primero calculamos los pasos de bebé:

$B = \{(bg^{-r}$ mod $p, r) : 0 \leq r < m\}$

In [18]:
def pasos_bebe(b, g, p):
    m = int(np.sqrt(p))
    B = []
    for r in range(m):
        B.append(((b * pow(g, -r, p)) % p, r))
    return B

B = pasos_bebe(b,g,p)
B

[(21, 0), (60, 1), (70, 2), (58, 3), (44, 4), (4, 5), (52, 6), (37, 7)]

Como ningún elemento de $B$ es de la forma $(1,r)$, entonces calculamos los pasos de gigante.

Para ello, determinamos $c \equiv g^m$ mod $p \equiv 12$.

In [19]:
c = g**m % p
c

12

Ahora, para cada $q = 1,2,3, \dots$, comprobamos si $c^q$ mod $p$ coincide con la primera coordenada de algún elemento de $B$. Cuando esto ocurre, tenemos:

$(g^m)^q \equiv c^q \equiv bg^{-r}$ mod $p$

de donde $x = qm+r$ es la solución buscada. Para ello, usamos la siguiente función:

In [20]:
def pasos_gigante(g,p,B):
    m = int(np.sqrt(p))
    c = g**m % p
    q = 1
    bg_r = [x[0] for x in B]
    while (c**q % p) not in bg_r:
        q += 1
    for x in B:
        if x[0] == c**q % p:
            r = x[1]
    x = q*m + r
    return x

pasos_gigante(g,p,B)

37

In [26]:
11**(37) % 71    # comprobación

21

Por tanto, la solución del DLP es $x=37$.

**\(b\)** $156^x = 116$ **en** $\mathbb{F}_{593}$


Queremos resolver $116 \equiv 156^x$ mod $593$. Sean $b=116$, $g=156$ y $p=593$, entonces queremos resolver el logaritmo discreto $b \equiv g^x$ mod $p$.

Sea además $m = \lfloor \sqrt p \rfloor = 24$.

In [21]:
b=116
g=156
p=593
m = int(np.sqrt(p))
m

24

Primero calculamos los pasos de bebé:

$B = \{(bg^{-r}$ mod $p, r) : 0 \leq r < m\}$

In [22]:
B = pasos_bebe(b,g,p)
B

[(116, 0),
 (168, 1),
 (366, 2),
 (162, 3),
 (480, 4),
 (368, 5),
 (124, 6),
 (16, 7),
 (289, 8),
 (439, 9),
 (554, 10),
 (148, 11),
 (153, 12),
 (58, 13),
 (84, 14),
 (183, 15),
 (81, 16),
 (240, 17),
 (184, 18),
 (62, 19),
 (8, 20),
 (441, 21),
 (516, 22),
 (277, 23)]

Como ningún elemento de $B$ es de la forma $(1,r)$, entonces calculamos los pasos de gigante.

Para ello, determinamos $c \equiv g^m$ mod $p \equiv 258$.

In [23]:
c = g**m % p
c

258

Ahora, al igual que en el apartado anterior, usamos la función $pasos\_gigante$, que para cada $q = 1,2,3, \dots$, comprueba si $c^q$ mod $p$ coincide con la primera coordenada de algún elemento de $B$.

De esta forma, obtenemos la solución:

In [24]:
pasos_gigante(g,p,B)

59

In [25]:
156**(59) % 593    # comprobación

116

Por tanto, la solución del DLP es $x=59$.

8. **Sean** $p = 687917$ **un número primo,** $g = 2$ **y** $A = 149129$**. Considere el sistema criptográfico ElGamal cuya llave pública es el** $(p, g,A)$**. Determine la llave secreta asociada utilizando el cálculo de índices.**



Queremos obtener una clave secreta $b$ tal que $g^b \equiv A \mod p$. Para el algoritmo del cálculo de índices, consideramos $B = 11$, lo cual nos proporciona $F(B) = \{2,3,5,7,11\} $.

Ahora, el algortimo consiste en buscar de manera aleatoria en el intervalo $\{1,2,.....,p-1\}$ elementos $z$ que cumplan que $g^z\mod p$ puede descomponerse con los elementos de $F(B)$.

Tras una larga búsqueda usando un bucle que tardó mucho en ejecutarse, hemos llegado al conjunto $\{231076,401270,641244,184393,99445\}$.

Comprobamos, con ayuda de la función pow\(\) de python, que se cumple:

$2^{231076} \equiv_p 1344 \equiv_p 2^6\cdot3\cdot7$ 

$2^{401270} \equiv_p 206250 \equiv_p 2\cdot 3\cdot 5^5\cdot11$ 

$2^{641244} \equiv_p 30240 \equiv_p 2^5\cdot 3^3\cdot 5\cdot 7$ 

$2^{184393} \equiv_p 19845 \equiv_p 3^4\cdot 5 \cdot 7^2$ 

$2^{99445} \equiv_p 8470 \equiv_p 2\cdot 5\cdot 7 \cdot 11^2$ 

Por tanto, obtenemos los vectores de exponentes $(6,1,0,1,0) , (1,1,5,0,1), (5,3,1,1,0), (0,4,1,2,0) \text{ y } (1,0,1,1,2)$ .

La siguiente celda muestra la función para obtener las descomposiciones así como el camino hasta obtener el $b$ que buscamos, el cual se obtiene a traves de un sistema de congruencias.



In [6]:
import sympy as sp
from random import randint
p = 687917
def descomposicion(n, base):
    descomp = []
    for p in base:
        freq = 0
        q2, r = divmod(n, p)
        if r == 0:
            while r == 0:
                q = q2
                freq += 1
                q2, r = divmod(q, p)
            n = q
        descomp.append(freq)
    if n == 1:
        mensaje = 'Hecho'
    else:
        mensaje = 'No hecho'
    return [descomp, mensaje]

F=[2,3,5,7,11]
numeros = sp.Matrix([[231076], [401270], [641244], [184393], [99445]])

ec1 = descomposicion(pow(2,231076,687917),F)[0]
ec2 = descomposicion(pow(2,401270,687917),F)[0]
ec3 = descomposicion(pow(2,641244,687917),F)[0]
ec4 = descomposicion(pow(2,184393,687917),F)[0]
ec5 = descomposicion(pow(2,99445,687917),F)[0]

vectores = sp.Matrix([ec1, ec2, ec3, ec4, ec5])



while True:
    y = randint(1, 687916)
    exponente = descomposicion(149129*pow(2, y, 687917)%687917, F)
    if exponente[1] == 'Hecho':
        sol = divmod(int((vectores.inv_mod(p-1)*numeros).dot(sp.Matrix(exponente[0])) - y), 687916)
        break
        
print(sol[1])

86974


Obtenemos que $b = 86974$, lo cual podemos comprobar con la función pow\(\)


In [7]:
pow(2,86974,687917)

149129

En efecto, se cumple que $g^b \equiv_p  A$. 
