1. **Sea** $p = 31$**,** $g = 3$ **y** $\beta = g^a = 6$ **los parámetros públicos para un protocolo de ElGamal para firmas digitales \(**$a$ **es mantenida en secreto\). Recibiste dos veces el mensaje** $x = 10$**, la primera vez con la firma** $(\gamma, \delta) = (17, 5)$ **y la segunda con la firma** $(\gamma, \delta) = (13, 15)$**.**

**\(a\) ¿Son firmas válidas?**



In [3]:
p = 31
g = 3
beta = 6
x = 10

gamma1 = 17
delta1 = 5

gamma2 = 13
delta2 = 15

Para verificar si $(\gamma_1, \delta_1) = (17, 5)$ es una firma válida, debemos comprobar si $\beta^{\gamma_1} \gamma_1^{\delta_1} \equiv g^x$ mod $p$, por tanto calculamos:

In [6]:
g**x % p

25

In [7]:
(beta**gamma1 * gamma1**delta1) % p

25

Como se cumple que $\beta^{\gamma_1} \gamma_1^{\delta_1} \equiv g^x \equiv 25$ mod $p$, entonces  $(\gamma_1, \delta_1) = (17, 5)$ es una firma válida.

De nuevo, para verificar si $(\gamma_2, \delta_2) = (13, 15)$ es una firma válida, debemos comprobar si $\beta^{\gamma_2} \gamma_2^{\delta_2} \equiv g^x$ mod $p$, por tanto calculamos:

In [8]:
g**x % p

25

In [9]:
(beta**gamma2 * gamma2**delta2) % p

25

Otra vez, como se cumple que $\beta^{\gamma_2} \gamma_2^{\delta_2} \equiv g^x \equiv 25$ mod $p$, entonces  $(\gamma_2, \delta_2) = (13, 15)$ también es una firma válida.

**\(b\) Con estos parámetros, ¿cuántas firmas digitales válidas hay para** $x$**?**


Para firmar un documento $x$, se elige una clave efímera $k\in\mathbb{Z}_{p-1}^*$ y se calcula:

$\gamma = g^k$ mod $p$

$\delta = (x-ag^k)k^{-1}$ mod $p-1$

y así se obtiene la firma $(\gamma, \delta)$.

Por tanto, habrá tantas firmas válidas como elementos $k\in\mathbb{Z}_{p-1}^*$, y esto es:

$\varphi(p-1) = \varphi(30) = \varphi(2\cdot 3\cdot 5) = (2-1)(3-1)(5-1) = 8$

Es decir, que hay 8 firmas digitales válidas para $x$.

2. **Alice utiliza un esquema RSA de firma digital con módulo público** $n = 27212325191$  **y exponente de verificación** $e_a = 22824469379$**. Suponemos que hemos conseguido factorizar** $n = 128311 \cdot 212081$ **con algunos de los ataques vistos en clase. Falsificar la firma de Alice en el documento** $D = 12910258780$. 



Como sabemos $p = 128311,q = 212081$ podemos calcular $d \equiv e_a^{-1} \mod \phi (n)$, que es la clave secreta de Alice.

Tenemos que $\phi (n) = (p-1)(q-1) = 27211984800$ y, con la ayuda de la función pow\(\) de python, se obtiene $d = 18408628619$ 

Ahora, tenemos que la firma $y$  de Alice falsificada para el documento $D$ se calcula como $y \equiv D^{d_a}$, lo cual haremos también con la ayuda de la función pow\(\).

En el siguiente cuadro de código aparecen los cálculos para el ejercicio.



In [3]:
p = 128311
q = 212081
phi = (p-1)*(q-1)
d_a = pow(22824469379,-1,phi)
firma = pow(12910258780,d_a,27212325191)
print('Clave secreta: ', d_a)
print('Firma: ', firma)

Clave secreta:  18408628619
Firma:  22054770669


Por tanto, obtenemos que la firma del documento $D$ falsificada al haber obtenido una descomposición de $n$ es $22054770669$.


**3. Sea (na, ea), (pa, qa, da) y (nb, eb), (pb, qb, db) las claves públicas y privadas de Alice y Bob del RSA, respectivamente.<br>
(a) Explica como pueden hacer Alice y Bob para intercambiar de forma segura una clave privada para después usar un criptosistema simétrico como el AES.<br>
(b) Imagina que Alice quiere ahora publicar un documento y firmarlo de tal forma que todo el mundo lo pueda leer y verificar que es de ella. ¿Cómo tiene que firmarlo?<br>
(c) Imagina que en un protocolo de intercambio de claves usando RSA se cifra antes de firmar, es decir para firmar x se hace $y = x^{e_b} \ mod \ n_b$ y luego $z = y^{d_a} \ mod \ n_a$, enviando finalmente (y, z). ¿Es este protocolo de firma seguro?**<br>

**a)** Alice generará una clave privada que solo deberán conocer Alice y Bob a la que llamaremos x. Luego hará $y=x^{d_a} \ mod n_a$ y enviará a Bob $(x^{e_b} \ mod \ n_b, y^{e_b \ mod \ n_b})$ y se lo envía a Bob. Ahora Bob descifra x e y con su clave privada y comprueba que $x=y^{e_a} \ od \ n_a$ para asegurarse de que dicha clave la ha enviado Alice y no una tercera persona. Así, tanto Alice como Bob tienen la clave privada x, nadie más la tiene y además Bob está seguro de que dicha clave ha sido enviada si o si por Alice haciendo este proceso seguro.

**b)** Si el documento es muy grande, podemos usar una función hash y por tanto si D es el documento original nos queda X=h(D). Luego Alice podrá hacer $Y=X^{d_a} \mod n_a$ publicar $(Y , X )$ y por tanto la gente podrá verificar con su clave pública $e_a$ si $Y^{e_a}=X \mod n_a$. En este caso, el documento tiene queser si o si de Alice ya que es la única que conoce $d_a$. (Podría hacerlo directamente con D si este no es muy grande).

**c)** No, este protocolo no es seguro ya que Oscar podría hacer $z^{e_a}=((x^{e_b})^{d_a})^{e_a} \ mod \ n_a= x^{e_b}$ y por tanto, a partir de aquí Oscar podría firmar este mensaje, aun sin saber su contenido, y hacer pasarlo por suyo utilizando sus propias claves.

4. **Alice quiere convencer a Bob de que conoce la factorización de** $n = pq$ **sin revelarla. Sabemos que alguien que conozca tal factorización es capaz de resolver la ecuación cuadrática** $x^2 − α = 0$ **mod** $n$**. Discute si el siguiente protocolo de prueba de conocimiento nulo es válido:**

**\(a\) Bob elige** $c$**, y calcula** $d = c^2$ **mod** $n$ **y envía** $d$ **a Alice,**

**\(b\) Alice elige** $b$ **y envía ambos** $b$ **y** $\sqrt{bd}$ **a Bob, en otras palabras, resuelve** $x^2 −bd = 0$ **mod** $n$**.**

**¿Quién sale perdiendo con este protocolo?**



Alice podría elegir un cierto $a$ y construir $b = d^{-1}a^2$. Entonces podría resolver $x^2 \equiv bd \equiv a^2$ mod $n$ sin saber $n$.

Además, Bob recibiría $b = d^{-1}a^2$ y $a$. Como tiene $d$ podría calcular $bd = a^2$, y como tiene $a$ podría calcular $a^2$ y vería que ambos coinciden.

Sin embargo, esto no le serviría para saber que Alice estaba haciendo trampa, ya que esto mismo ocurriría para cualquier $b$ que mandara Alice:

Si Bob recibe $b$ y $\sqrt{bd}$, al calcular $(\sqrt{bd})^2 = bd$ de nuevo coincidiría con $bd$, para cualquier $b$ que elija Alice.

Bob no tiene forma de saber que Alice está haciendo trampa.

Por tanto, sale perdiendo Bob.

5. **Imaginad que modificamos el protocolo del ejercicio anterior:**

**\(a\) Bob elige** $c$**, y calcula** $d = c^2$ **mod** $n$ **y envía** $d$ **a Alice,**

**\(b\) Alice elige** $a$ **y aleatoriamente manda o** $b = a^2$  **o** $b = d^{-1}a^2$  **a Bob**

**\(c\) Alice en lugar de calcular** $\sqrt{bd}$  **o** $\sqrt{b}$  **\(i.e. resolver** $x^2-bd =0 \mod n$  **o** $x^2-b = 0 \mod n$ **\), calcula ambas raíces** $\sqrt{bd}$  **y** $\sqrt{b}$ 

**¿Es bueno este protocolo?¿Quién sale perdiendo con este protocolo?**



El protocolo será bueno cuando Alice solo lo pueda resolver si realmente lo sabe y en el proceso Bob no gane información de la factorización. Este protocolo no es bueno debido a dos posibles casos:

- En primer lugar, si Alice no conociera realmente la factorización e intentara engañar a Bob, por el protocolo visto en clase, habría una ecuación que dependiendo de lo que Alice hubiera enviado, esta sería incapaz de resolver.
- La segunda posibilidad es que Alice reamente conozca una factorización, por lo que puede calcular ambas raíces y, como indica el protocolo, enviaría a Bob $\sqrt{bd} \text{ y } \sqrt{b}$. El problema aquí está en que Bob podría calcular ahora $(\sqrt{b})^{-1}(\sqrt{bd}) = \sqrt{d}$, por lo que obtendría otra raíz de $d$. En el caso de que este $\sqrt{d}$ recién calculado fuese distinto de el $c$ que envía al principio del protocolo, podría ocurrir que haciendo $(c-\sqrt{d}, n)$ obtuviera un factor de n.

De esta forma, llegamos a que la que sale perdiendo es Alice, ya que sabiendo la factorización el protocolo hace que Bob obtenga información sobre esta, cuando este no es en absoluto el objetivo.


6. **Consideramos tres funciones hash diferentes que producen salidas de longitudes** $64$**,** $128$ **y** $160$ **bits. ¿Después de cuántas entradas aleatorias tenemos una probabilidad de** $\epsilon= 0.5$ **para una colisión? ¿Después de cuántas entradas aleatorias tenemos una probabilidad de** $\epsilon = 0.1$ **para una colisión?**



Sea $h: X \rightarrow Z$ una función hash, donde $|X| = m$, $|Z| = n$ y $|X| \geq 2|Z|$.

Sabemos que la probabilidad de que no haya ninguna colisión después de $k$ intentos es de:

$\prod_{i=1}^{k-1}(1-\frac{i}{n}) \approx \prod_{i=1}^{k-1} e^{-\frac{i}{n}} \approx  e^{-\frac{k(k-1)}{2n}}$

Por lo que la probabilidad de tener por lo menos una colisión es de $\epsilon = 1 - e^{-\frac{k(k-1)}{2n}}$, de donde sacamos que:

$k \approx \sqrt{2n\log \frac{1}{1-\epsilon}}$

Supongamos que $h$ produce salidas de longitud $64$ bits, entonces $n = |Z| = 2^{64}$. De esta forma, para $\epsilon = 0.5$ tendremos:

In [13]:
import numpy as np

n = 2**64
epsilon = 0.5
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
k

5056937540.686587

Es decir, que tendremos una probabilidad de $\epsilon = 0.5$ para una colisión después de aproximadamente $5056937540$ entradas aleatorias.

Análogamente, para $\epsilon = 0.1$ tendremos:

In [10]:
epsilon = 0.1
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
k

1971577271.026419

Es decir, que tendremos una probabilidad de $\epsilon = 0.1$ para una colisión después de aproximadamente $1971577271$ entradas aleatorias.

Supongamos ahora que $h$ produce salidas de longitud $128$ bits, en este caso $n = |Z| = 2^{128}$. De esta forma, para $\epsilon = 0.5$ tendremos:

In [20]:
n = 2**128
epsilon = 0.5
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
int(k)

21719381355163561984

Por tanto, tendremos una probabilidad de $\epsilon = 0.5$ para una colisión después de aproximadamente $21719381355163561984$ entradas aleatorias.

Por otro lado, para $\epsilon = 0.1$ tendremos:

In [21]:
epsilon = 0.1
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
int(k)

8467859900595397632

Es decir, que tendremos una probabilidad de $\epsilon = 0.1$ para una colisión después de aproximadamente $8467859900595397632$ entradas aleatorias.

Por último, supongamos que $h$ produce salidas de longitud $160$ bits, en este caso $n = |Z| = 2^{160}$. De esta forma, para $\epsilon = 0.5$ tendremos:

In [23]:
n = 2**160
epsilon = 0.5
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
int(k)

1423401376491999198183424

Así, tendremos una probabilidad de $\epsilon = 0.5$ para una colisión después de aproximadamente $1423401376491999198183424$ entradas aleatorias.

Además, para $\epsilon = 0.1$ tendremos:

In [25]:
epsilon = 0.1
k = np.sqrt(2*n*np.log(1/(1-epsilon)))
int(k)

554949666445419979210752

Por tanto, tendremos una probabilidad de $\epsilon = 0.1$ para una colisión después de aproximadamente $554949666445419979210752$ entradas aleatorias.

**7. En $\mathbb{F_7}$ considerad la curva elíptica E dada por $Y^2 = X^3 + 3X + 2$.<br>
(a) Calculad todos los puntos de E.<br>
(b) ¿Cuál es el orden del grupo de puntos de E?**

**a)**
Para calcular todos los puntos de E tendremos que sustuir todos los posibles valores de la X(7 en este caso) en la curva elíptica y ver si la Y tiene solución, y si es así cuáles son.<br>
Empezamos con X=0 y entonces nos queda:
\begin{equation*}
Y^2=0^3+3 \cdot 0 +2=2 \Rightarrow Y= \pm \sqrt{2}
\end{equation*}
Como (\frac{2}{7}})=1, Y si que tiene soluciones y podemos observar que tanto $3^2=9=2 \ mod \ 7$ como $4^2=16=2 \ mod \ 7$ con lo que tenemos que $(0,3),(0,4) \in E(\mathbb{F_7})$.<br>
Volvemos a hacer lo mismo para X=1 y obtnemos:
\begin{equation*}
Y^2=1^3+3 \cdot 1 +2=6 \ mod \ 7 \Rightarrow Y= \pm \sqrt{6}
\end{equation*}
En este caso su símbolo de Legendre es -1, por tanto esta ecuación no tendrá solución y no habrán puntos cuya X sea 1.<br>
Repetimos el proceso para X=2, quedándonos:
\begin{equation*}
Y^2=2^3+3 \cdot 2 +2=16= 2 \ mod \ 7 \Rightarrow Y= \pm \sqrt{2}
\end{equation*}
Ya hemos visto antes que su símbolo de Legendre es 1 por y que sus raíces son 3 y 4 por lo que tenemos que los puntos $(2,3),(2,4) \in E(\mathbb{F_7})$<br>
Hacemos lo mismo con X=3
\begin{equation*}
Y^2=3^3+3 \cdot 3 +2=38= 3 \ mod \ 7 \Rightarrow Y= \pm \sqrt{3}
\end{equation*}
El símbolo de Legendre $frac{3}{7}=-1$, por lo tanto dicha ecuación no tiene soluciones.<br>
Volvemos a hacer lo mismo con X=4:
\begin{equation*}
Y^2=4^3+3 \cdot 4 +2=78= 1 \ mod \ 7 \Rightarrow Y= \pm \sqrt{1}
\end{equation*}
Claramente esta ecuación si que tiene soluciones y se observa con facilidad que son $1^2=1 \ mod \ 7$ y $6^2=36 = 1 \ mod \ 7$. Por tanto, $(4,1),(4,6) \in E(\mathbb{F_7})$.<br>
Al volver a realizar el mismo proceso con X=5 nos queda:
\begin{equation*}
Y^2=5^3+3 \cdot 5 +2=142= 2 \ mod \ 7 \Rightarrow Y= \pm \sqrt{2}
\end{equation*}
Ya hemos visto que esta ecuación tiene las soluciones 3 y 4, obtenemos así que  $(5,3),(5,4) \in E(\mathbb{F_7})$.<br>
Por último, al hacer esto con X=6, nos queda:
\begin{equation*}
Y^2=6^3+3 \cdot 6 +2=236= 5 \ mod \ 7 \Rightarrow Y= \pm \sqrt{5}
\end{equation*}
Su símbolo de Legendre es -1 y por tanto esta ecuación tampoco tiene soluciones. Por tanto, nos queda que 
\begin{equation*}
E(\mathbb{F_7})=\{0,(0,3),(0,4),(2,3),(2,4),(4,1),(4,6),(5,3),(5,4)\}
\end{equation*}
**b)**
Y por tanto el orden del grupo es 9

8. **En** $\mathbb{F}_{29}$  **considerad la curva elíptica** $Y^2 = X^3+4X+20 $  **y el punto** $P = (8,10)$ **. En cada caso, utilizad el algoritmo de doblar y sumar para calcular** $9 \cdot P$ **. Indicad los pasos intermedios.**



Para comenzar el algoritmo de doblar y sumar, em primer lugar escribimos $n=9$ en binario de la siguiente forma $n = 9 = 1+0\cdot 2 + 0\cdot 2^2 + 1\cdot 2^3$.

Ahora, comenzamos a realizar los cálculos del algoritmo empezando con $Q_0 = (8,10)$ 

El algoritmo requiere calcular $Q_1, Q_2 \text{ y } Q_3$ de la siguiente manera:

$Q_1 = 2\cdot Q_0 = Q_0 \oplus Q_0$ 

$Q_2 = 2\cdot Q_1 = Q_1 \oplus Q_1$ 

$Q_3 = 2\cdot Q_2 = Q_2 \oplus Q_2$ 

Realizaremos estos cálculos con python, usando el código que se adjunta a continuación:


In [3]:
Q_0 = [8,10] #usamos la fórmula de la suma para puntos iguales
l = pow(((3*Q_0[0]**2 + 4)*pow(2*Q_0[1], -1, 29)),1,29)
r_1 = pow(l**2-Q_0[0]-Q_0[0],1,29)
r_2 = pow(l*(Q_0[0]-r_1)-Q_0[1],1,29)
Q_1 = [r_1, r_2]

Q_1 = [0,22] 
l = pow(((3*Q_1[0]**2 + 4)*pow(2*Q_1[1], -1, 29)),1,29)
r_1 = pow(l**2-Q_1[0]-Q_1[0],1,29)
r_2 = pow(l*(Q_1[0]-r_1)-Q_1[1],1,29)
Q_2 = [r_1, r_2]

Q_2 = [6,17] 
l = pow(((3*Q_2[0]**2 + 4)*pow(2*Q_2[1], -1, 29)),1,29)
r_1 = pow(l**2-Q_2[0]-Q_2[0],1,29)
r_2 = pow(l*(Q_2[0]-r_1)-Q_2[1],1,29)
Q_3 = [r_1, r_2]

print('Q_1 =', Q_1)
print('Q_2 =', Q_2)
print('Q_3 =', Q_3)

Q_1 = [0, 22]
Q_2 = [6, 17]
Q_3 = [13, 6]


Por el algoritmo, tenemos que $9\cdot P = 1\cdot Q_0 \oplus 0\cdot Q_1 \oplus 0\cdot Q_2 \oplus 1\cdot Q_3 = Q_0 \oplus Q_3$. Realizamos pues el siguiente cálculo en python.


In [4]:
l = pow(((Q_3[1]-Q_0[1])*pow(Q_3[0]-Q_0[0], -1, 29)),1,29)
r_1 = pow(l**2-Q_3[0]-Q_0[0],1,29)
r_2 = pow(l*(Q_3[0]-r_1)-Q_3[1],1,29)
suma = [r_1, r_2]
print(suma)

[4, 10]


Por tanto, el algoritmo de doblar y sumar nos da $9\cdot P = (4, 10)$ 


**9. Escribid la tabla de composición para la adición de los puntos de la curva elíptica sobre Fp.<br>
(a) $E : y^2 = x^3 + x + 2 \ , \ \mathbb{F_5}$.<br>
Calculad también la traza de Frobenius <br>
$t_p = p+1-|E(\mathbb{F_p})|$<br>
y comprobad que $t_p$ es menor que 2√p.**

Primero tendremos que calcular todos los puntos de $E(\mathbb{F_5})$. Para ello resolvemos la ecuación con todos los x posibles.<br>
Empezamos con x=0 y nos queda entonces:
\begin{equation*}
Y^2=0^3+0+2=2 \Rightarrow Y=\pm \sqrt{2}
\end{equation*}
Observamos que su símbolo de Legendre es -1, por tanto dicha ecucaicón no tiene soluciones.<br>
Hacemos lo mismo con x=1:
\begin{equation*}
Y^2=1^3+1+2=4 \Rightarrow Y=\pm \sqrt{4}
\end{equation*}
Su símbolo de Legendre es 1, por tanto si tiene soluciones y podemos ver que $2^2=4 \ mod \ 5$ y $3^2=9 = \ mod \ 5$. Por tanto, tenemos que $(1,2),(1,3)\in E(\mathbb{F_5})$.<br>
Lo volvemos a hacer con x=2:
\begin{equation*}
Y^2=2^3+2+2=12= 2 \ mod \ 5 \Rightarrow Y=\pm \sqrt{2}
\end{equation*}
Ya hemos visto que 2 no tiene raíces módulo 5, por lo tanto no hay punto de esta forma.<br>
Llegamos a lo mismo con x=3:
\begin{equation*}
Y^2=3^3+3+2=32= 2 \ mod \ 5 \Rightarrow Y=\pm \sqrt{2}
\end{equation*}
Por lo que tampoco hay puntos de esta forma.<br>
Por último, lo hacemos con x=4:
\begin{equation*}
Y^2=4^3+4+2=70= 0 \ mod \ 5 \Rightarrow Y=\pm \sqrt{0}
\end{equation*}
Claramente, la única solución posible es Y=0, por tanto tenemos que $(4,0)\in E(\mathbb{F_5})$.<br>
Es decir, tenemos que
\begin{equation*}
E(\mathbb{F_5})=\{0,(1,2),(1,3),(4,0)\}
\end{equation*}


Ahora, el objetivo es rellenar con las respectivas sumas la siguiente tabla:
|  | 0 | (1,2) | (1,3) | (4,0) |
| :--- | :--- | :--- | :--- | :-- |
| 0 | \- | \- | \- | \- |
| (1,2) | \- | \- | \- | \- |
| (1,3) | \- | \- | \- | \- |
| (4,0) | \- | \- | \- | \- |

Algunos de los huecos los podemos rellenar sin hacer la suma, todas las sumas con 0 será el mismo número ya que es el elemento neutro. También sabemos que si $p_1=p_2$ y $q_1=-q_2$ entonces $(p_1,q_1)+(p_2,q_2)=0$, por tanto como $1=1$ y $2=-3 \ mod \ 5$ entonces $(1,2)+(1,3)=0$. Podemos ver también que 4=4 y  0=-0 y por tanto $(4,0)+(4,0)=0$. Además, también hemos visto en clase que se cumple la propiedad conmutativa. Sin hacer ninguna suma directamente ya tendríamos:

|  | 0 | (1,2) | (1,3) | (4,0) |
| :--- | :--- | :--- | :--- | :-- |
| 0 | 0 | (1,2) | (1,3) | (4,0) |
| (1,2) | (1,2) | \- | 0 | \- |
| (1,3) | (1,3) | 0 | \- | \- |
| (4,0) | (4,0) | \- | \- | 0 |

Ahora procedemos a calcular las sumas que faltan con el algoritmo visto en clase, recordando que se cumple la propiedad conmutativa y por tanto solo tendremos que calcular una.<br>
Empezamos por tanto sumando (1,2)+(1,2). Como los dos puntos son iguales: $\lambda =\frac{3x_1^2+A}{2y_1}=\frac{3\cdot 1^2+1}{2 \cdot 2}=\frac{4}{4}=4\cdot 4^{-1}=1$. Ahora tenemos que $x_3=\lambda^2-x_1-x_2=1^2-1-1$=-1=4 \ mod \ 5$ e $y_3=\lambda(x_1-x_3)-y_1=1(1-4)-2=-5=0 \ mod \ 5$. Con esto, nos queda que $(1,2)+(1,2)=(4,0)$.<br>
Utilizando las mismas fórmulas calculamos (1,3)+(1,3). Obtenemos $\lambda =\frac{3x_1^2+A}{2y_1}=\frac{3\cdot 1^2+1}{2 \cdot 3}=\frac{4}{6}=4\cdot 1^{-1}=4$. Calculamos ahora las componentes de la suma y obtenemos que $x_3=\lambda^2-x_1-x_2=4^2-1-1$=14=4 \ mod \ 5$ e $y_3=\lambda(x_1-x_3)-y_1=4(1-4)-3=-15=0 \ mod \ 5$. Nos queda así, $(1,3)+(1,3)=(4,0)$.<br>
Ahora procedemos a calcular el resto de sumas donde los puntos son distintos. Empezamos con (1,2)+(4,0). Ahora tenemos que lambda es $\lambda =\frac{y_2-y_1}{x_2-x_1}=\frac{0-2}{4-1}=\frac{-2}{3}=3\cdot 3^{-1}=1$. Y ahora vamos con las componentes y ahora siguen siendo las mismas fórmulas de antes, $x_3=\lambda^2-x_1-x_2=1^2-1-4$=-4=1 \ mod \ 5$ e $y_3=\lambda(x_1-x_3)-y_1=1(1-1)-2=-2=3 \ mod \ 5$. Nos queda así, $(1,2)+(4,0)=(1,3)$. Por la propiedad conmutativa tenemos también que  $(4,0)+(1,2)=(1,3)$.<br>
Vamos a calcular ahora (1,3)+(4,0). Nos queda $\lambda =\frac{y_2-y_1}{x_2-x_1}=\frac{0-3}{4-1}=\frac{-3}{3}=2\cdot 3^{-1}=2\cdot 2=4$. Y por tanto, la suma nos queda  $x_3=\lambda^2-x_1-x_2=4^2-1-4$=11=1 \ mod \ 5$ e $y_3=\lambda(x_1-x_3)-y_1=4(1-1)-3=-3=2 \ mod \ 5$. Es decir, $(1,3)+(4,0)=(1,2)$. Por la propiedad conmutativa obtenemos también que  $(4,0)+(1,3)=(1,2)$.<br>
Así ya tenemos la tabla completa y nos queda de la siguiente manera:
|  | 0 | (1,2) | (1,3) | (4,0) |
| :--- | :--- | :--- | :--- | :-- |
| 0 | 0 | (1,2) | (1,3) | (4,0) |
| (1,2) | (1,2) | (4,0) | 0 | (1,3) |
| (1,3) | (1,3) | 0 | (4,0) | (1,2) |
| (4,0) | (4,0) | (1,3) | (1,2) | 0 |

Ahora vamos a calcular la traza de Frobenius. Podemos observar que $|E(\mathbb{F_5})|=4$ ya que hemos visto que tiene 4 puntos y por tanto
\begin{equation*}
t_p=p+1-|E(\mathbb{F_5})|=5+1-4=2
\end{equation*}
y vemos que
\begin{equation*}
t_p=2 < 2\sqrt{p}=2 \cdot \sqrt{5} \simeq 4.47
\end{equation*}

10. **Un inconveniente que tiene el uso de una curva elíptica** $E(\mathbb{F}_p)$ **en criptografía es el hecho de que se necesitan dos coordenadas para especificar un punto de** $E(\mathbb{F}_p)$**. Sin embargo, la segunda coordenada realmente transmite muy poca información adicional.**



**\(a\) Suponed que Bob quiere enviar a Alice un punto** $R \in E(\mathbb{F}_p)$ **. Explicad por qué es suficiente para Bob enviar a Alice la abscisa**  $x_R$  **de** $R = (x_R, y_R)$  **junto con el bit** $\beta_R$  **dado por** 

$\beta_r = \begin{cases} 0, \text{ si } 0\leq y_R < \frac{1}{2}p, \\ 1, \text{ si } \frac{1}{2}p \leq y_R < p.\end{cases}$ 

**Se supone que Alice es capaz de calcular de manera eficiente raíces cuadradas módulo** $p$ **, lo cual es cierto si, por ejemplo,** $p \equiv 3 \mod 4$ 


Supongamos que Bob envía un $x_R$  de la curva $E(\mathbb{F}_p)$  dada por $Y^2 \equiv_p X^3 +AX +B$. 

Como Alice es capaz de calcular eficientemente raíces, una vez recibe $x_R$ deberá obtener las dos raíces de la ecuación $Y^2 \equiv_p x_R^3 +Ax_R +B$.

Si las dos raíces son iguales, entonces el punto está claro sin necesidad siquiera de enviar un bit $\beta_R$ adjunto.

Si son diferentes, sabemos que ambas raíces deben sumar $p$, por lo que una será menor que $\frac{1}{2}p$ y la otra será mayor o igual que $\frac{1}{2}p$.

Por tanto, si Bob envía $\beta_R = 0$ querrá indicar la raíz menor y si envía $\beta_R = 1$ querrá indicar la raíz mayor, quedando así claro cual era el punto que quería enviar a Alice.


**\(b\) Alice y Bob deciden utilizar el primo** $p = 1123$ **y la curva elíptica**

$E: y^2 = x^3 + 54x + 87$**.**

**Bob envía a Alice la abscisa** $x = 278$ **y el bit** $\beta = 0$**. ¿Cuál es el punto que Bob está tratando de transmitir a Alice? ¿Qué podemos decir si Bob envía el bit** $\beta = 1$**?**


Para encontrar el punto $(x,y)$ que Bob está tratando de transmitir a Alice, sustituimos $x=278$ en $E$ y calculamos el correspondiente $y$.

$y^2 =  278^3 + 54\cdot 278 + 87 \equiv 216$ mod $1123$

In [4]:
(278**3 + 54*278 + 87) % 1123

216

In [5]:
1123 % 4

3

Ahora, como $p \equiv 3$ mod $4$, podemos calcular $y$ de forma eficiente calculando la raíz cuadrada de $216$ mod $1123$. Primero comprobemos que $216$ es residuo cuadrático de $p=1123$:

In [6]:
def simbolo_legendre(a, p):
    sl = a**((p - 1)//2) % p
    if sl == p-1:
        sl = -1
    return sl

simbolo_legendre(216,1123)

1

Como $\left( \frac{216}{1123} \right) = 1$, entonces sí es RC.

Por otro lado, como $p \equiv 3$ mod $4$, sabemos que $a^{\frac{p+1}{4}}$ mod $p$ es raíz cuadrada de $a$. Sea $a = 216$, entonces:

In [8]:
a = 216
p = 1123
y = a**((p+1)//4) % p
y

487

La otra raíz será $-487 \equiv 636$ mod $p$.

In [9]:
(-487) % p

636

De esta forma obtenemos las coordenadas $y_1 = 487$ e $y_2 = 636$.

Ahora, como:

$\beta = \begin{cases} 0, \text{ si } 0\leq y < \frac{1}{2}p, \\ 1, \text{ si } \frac{1}{2}p \leq y < p.\end{cases}$ 

In [10]:
1/2 * p

561.5

Se tiene que $0 \leq y_1 = 487 < \frac{1}{2}p = 561.5$, luego cuando Bob envía la abscisa $x = 216$ y el bit $\beta = 0$, en realidad está tratando de transmitir el punto $(x,y_1) = (216,487)$.

Por otro lado, se tiene que $\frac{1}{2}p = 561.5 \leq y_2 = 636 < p = 1123$, luego cuando Bob envía la abscisa $x = 216$ y el bit $\beta = 1$, está tratando de transmitir el punto $(x,y_2) = (216,636)$.
