# Teste 2

A matéria em avaliação no teste 2 refere-se ao capítulo das raízes primitivas e Elgamal, e da dos resíduos quadráticos (v. pastas com estas denominações na área de Conteúdos->Vídeos).

## ElGamal

$p$ primo, $r$ raíz primitiva de $p$, $1\le a \le p-1$, $b\equiv r^a \mod p.$

__Chave pública__: $(p, r, b)$

__Chave privada__: $a$

In [21]:
# p primo
p= next_prime(10^10)
p

10000000019

In [16]:
# r raíz primitiva de p
r = primitive_root(p)
r

2

In [22]:
# codificação de r em Zp
Zp = IntegerModRing(p)
r = Zp(r)

In [23]:
# 1 <= a <= p-1
a = randint(1, p-1)
a

6329992349

In [24]:
# b == r^a mod p (= power_mod(r,a,p))
b = r^a
b

1287358216

In [25]:
PubKey = (p, r, b)
PrivKey = a

In [1]:
def elgamal_keygen(n = 10):
    p = next_prime(10^n)
    r = primitive_root(p)
    Zp = IntegerModRing(p)
    r = Zp(r)
    a = randint(1, p-1)
    b = r^a
    PubKey = (p,r,b)
    PrivKey = a
    return PubKey, PrivKey

chvPub, chvPriv = elgamal_keygen()
chvPub, chvPriv

((10000000019, 2, 4958735438), 6241090644)

In [2]:
def elgamal_cypher(p, r, b, x):
    Zp = IntegerModRing(p)
    r = Zp(r) # optimiza
    k = randint(1, p - 2)
    gama = power_mod(r,k,p)
    delta = mod(x*b^k,p)
    criptograma = gama, delta
    return criptograma

In [3]:
def elgamal_decypher(gama, delta, a):
    #s = power_mod(gama,a,p)
    #return mod(delta*s^(-1), p)
    #return mod(delta/s,p)
    return (1/(gama^a))*delta

Message is decrypted using

$$s = c{_1}^x\ mod\ p$$

$$m = c{_2}\ .\ s^{-1}\ mod\ p$$


which can be rewritten as 

$$m = c{_2}\ .\ s^{p-2}\ mod\ p$$

In [4]:
def elgamal_decypher_opt(gama, delta, a, p):
    s = power_mod(gama, a, p)
    m = mod(delta*s^(p-2), p)
    return m

## Símbolo de Jacobi

### Método 1

    1º - Obter os factores de n. (n = base_1^exp_1 * base_2^exp_2 *...* base_n^exp_n)
    2º - calcular gcd(a, n).
    3º - Se gcd(a, n) = 1, calcular legendre_symbol(a, base_1)^exp_1 * ... * legendre_symbol(a, base_n)^exp_n

In [6]:
n = 3^4*5^2*13^3*17^7 # = factor(n)
n

1825565980776525

In [11]:
factor(n)

3^4 * 5^2 * 13^3 * 17^7

In [7]:
a = 2^2*23^5
a

25745372

In [9]:
gcd(a, n)==1

True

In [13]:
legendre_symbol(a, 3)^4 * legendre_symbol(a, 5)^2 * legendre_symbol(a, 13)^3 * legendre_symbol(a, 17)^7

-1

### Método 2
    Basta usar jacobi_symbol(a, n).

In [12]:
# jacobi_symbol(a, n)
# 
# INPUT:
# a - inteiro
# n - inteiro ímpar
#
# OUTPUT:
# 1 se a == 0 (mod n)
# 0 se a != 0 (mod n) e existe x tal que: a == x² (mod n)
#-1 se a != 0 (mod n) e não existe x
#

jacobi_symbol(a, n)

-1

## Raízes primitivas

Seja $a\in \mathbb{Z}^*_n$, ou seja, $a\in \mathbb{Z}_n$ tal que $(a, n) = 1$.

Pelo __Teorema de Euler__, 
$$a^{\varphi{(n)}} \equiv 1 \mod n.$$

*Questão:* 

Existe $x$ com $1\le x < \varphi(n)$ para o qual $a^x \equiv 1 \mod n$?

$a\in \mathbb{Z}_n^*$ diz-se uma __raíz primitiva__ de $n$ se $\varphi(n)$ for o menor natural $x$ para o qual $a^x \equiv 1 \mod n$.

In [2]:
n = 21
euler_phi(n) #n=21=3*7 e portanto phi(21)=phi(3*7)=phi(3)*phi(5)=(3-1)*(7-1)

12

In [4]:
Zn = IntegerModRing(n) # Zn é um scr mod n

In [5]:
srr = [a for a in Zn if gcd(a, n) == 1]
srr #srr é um sistema reduzido de resíduos

[1, 2, 4, 5, 8, 10, 11, 13, 16, 17, 19, 20]

In [6]:
a = srr[1]
a

2

In [9]:
# a^euler_phi(n)
a^12 # Teorema de Euler

1

In [10]:
Potencias_a = [a^k for k in (1..12)]
Potencias_a

[2, 4, 8, 16, 11, 1, 2, 4, 8, 16, 11, 1]

Dado $a\in \mathbb{Z}_n^*$, o menor natural $x$ para o qual $a^x \equiv 1 \mod n$ é denominado por *ordem de $a$ módulo $n$*. 

É denotado por $ord_m\, a$.

In [11]:
multiplicative_order(Zn(2))

6

__Teorema__: $a^x \equiv 1 \mod n \Leftrightarrow ord_m \, a | x.$

__Corolário__: $ord_n a | \varphi(n)$.

Portanto, $a$ é raíz primitiva de $n$ *se e só se* $ord_n a = \varphi(n)$.

In [12]:
primitive_root(18)

11

In [14]:
n = 18
Zn = IntegerModRing(n)
Zn

Ring of integers modulo 18

In [15]:
euler_phi(n)

6

In [16]:
srr = [a for a in Zn if gcd(a, n)==1]
srr

[1, 5, 7, 11, 13, 17]

In [17]:
a = Zn(11)
[a^i for i in (1..6)]

[11, 13, 17, 7, 5, 1]

In [18]:
b = Zn(5)
[b^i for i in (1..6)]

[5, 7, 17, 13, 11, 1]

In [19]:
c = Zn(17)
[c^i for i in (1..6)]

[17, 1, 17, 1, 17, 1]

In [20]:
n = 25
Zn = IntegerModRing(n)
primitive_root(n)

2

In [21]:
euler_phi(n)

20

In [22]:
a = Zn(2)
a.multiplicative_order()

20

$\langle 2\rangle = \mathbb{Z}_{25}^*$

In [23]:
srr = [k for k in Zn if gcd(k, n) == 1]
srr

[1, 2, 3, 4, 6, 7, 8, 9, 11, 12, 13, 14, 16, 17, 18, 19, 21, 22, 23, 24]

In [24]:
[a^x for x in (1..20)]

[2, 4, 8, 16, 7, 14, 3, 6, 12, 24, 23, 21, 17, 9, 18, 11, 22, 19, 13, 1]

In [25]:
[Zn(3)^x for x in (1..20)]

[3, 9, 2, 6, 18, 4, 12, 11, 8, 24, 22, 16, 23, 19, 7, 21, 13, 14, 17, 1]

In [26]:
Zn(3).multiplicative_order()

20

In [27]:
[Zn(6)^x for x in (1..20)]

[6, 11, 16, 21, 1, 6, 11, 16, 21, 1, 6, 11, 16, 21, 1, 6, 11, 16, 21, 1]

In [28]:
Zn(6)^2, Zn(6)^17

(11, 11)

__Teorema__: Para $a\in \mathbb{Z}_n^*$, $$a^i\equiv a^j \mod n \Leftrightarrow i\equiv j \mod ord_n\, a.$$

$r\in \mathbb{Z}_n^*$ é __raiz primitiva__ de $n$ se $\langle r \rangle =  \mathbb{Z}_n^*$, i.e., $ord_n\ r = \varphi(n)$.

__Teorema do índice__: Dada uma raíz primitiva $r$ de $n$ (se existir),  $$r^i\equiv r^j \mod n \Leftrightarrow i\equiv j \mod \varphi(n).$$

__Teorema__: $n$ possui uma raíz primitiva se e só se  $n$ é igual a $2$, $4$, $p^k$, $2p^k$, onde $p$ é um primo ímpar.

__Corolário__: Todo o primo tem uma raíz primitiva.

In [29]:
n

25

In [30]:
primitive_root(n)

2

In [32]:
r = Zn(2)
srr

[1, 2, 3, 4, 6, 7, 8, 9, 11, 12, 13, 14, 16, 17, 18, 19, 21, 22, 23, 24]

In [33]:
r^9

12

Seja $r$ uma raíz primitiva de $n$. 

$ind_r a = x$ significa que $1\le x\le \varphi(n)$ tal que $r^x \equiv a \mod n$.

## Resíduos quadráticos

Seja $p$ um primo ímpar e $a\in \mathbb{Z}_p^*$. Será que existe $x\in \mathbb{Z}_p^*$ para o qual $x^2\equiv a \mod p$?

In [1]:
p = 5
Zp = IntegerModRing(p)
a = Zp(2)
[x for x in Zp if x^2 == a]

[]

In [2]:
p = 7
Zp = IntegerModRing(p)
a = Zp(2)
[x for x in Zp if x^2 == a]

[3, 4]

In [8]:
p = 11
Zp = IntegerModRing(p)
a = Zp(2)
[x for x in Zp if x^2 == a]

[]

__Definição__: Dado um natural $n$ e $a$ primo relativo com $n$, diz que *$a$ é resíduo quadrático de $n$* se a congruência $x^2\equiv a \mod n$ tiver solução.

Se não tiver solução, então $a$ chama-se um *não-resíduo quadrático de $n$*.

__Lemma__: Seja $p$ um primo ímpar e $a$ tal que $(a, p)=1$. Então $x^2\equiv  a \mod p$ ou não tem soluções ou então tem exactamente duas soluções incongruentes. 

__Teorema__: Dado um primo ímpar $p$, então *exactamente* metade dos elementos de $\mathbb{Z}_p^*$ são resíduos quadráticos e os restantes são não-resíduos quadráticos.

__Definição:__ Seja $p$ um primo ímpar e $a$ tal que $(a, p)=1$. O *símbolo de Legendre* está definido como

$$\left(\frac{a}{p}\right) = \left\{ \begin{array}{cc} 1 & \text{ se $a$ é resíduo quadrático}\\ -1 & \text{no caso contrário}\end{array}\right.$$

In [10]:
p = 11
Zp = IntegerModRing(p)
a = Zp(2)

In [11]:
legendre_symbol(2, p)

-1

In [12]:
[x for x in Zp if x^2 == a]

[]

In [13]:
[a for a in Zp if legendre_symbol(a, p)==1]

[1, 3, 4, 5, 9]

In [15]:
jacobi_symbol(2, p)

-1

In [16]:
kronecker_symbol(2, p)

-1

In [17]:
p = 11
Zp = IntegerModRing(p)

In [18]:
r = Zp.multiplicative_generator()
r

2

In [21]:
ResQuadr = [a for a in Zp if legendre_symbol(a, p)==1]
ResQuadr

[1, 3, 4, 5, 9]

In [22]:
for a in ResQuadr:
    print discrete_log(a, r)

SyntaxError: invalid syntax (<ipython-input-22-4869468d7fa0>, line 2)

__Teorema__: Dado um primo ímpar $p$ e uma raíz primitiva $r$ de $p$, se $p \nmid a$ então $a$ é resíduo quadrático se e só se $ind_r a $ é par.

__Critério de Euler__: dado um primo ímpar $p$ e $p\nmid a$ então

$$\left(\frac{a}{p}\right) \equiv a^{\frac{p-1}{2}} \mod p.$$

In [39]:
p = 11
Zp = IntegerModRing(p)

In [24]:
legendre_symbol(3, p)

1

In [25]:
Zp(3)^((p-1)/2)

1

In [26]:
legendre_symbol(2, p)

-1

In [33]:
a = Zp(2)
Zp(2)^((p-1)/2)

10

In [51]:
legendre_symbol(2, p) == mod(Zp(2)^((p-1)/2), p)

True

## Exercícios

In [4]:
def get_srr(n): # calcula o sistema reduzido de resíduos de 'n'
    Zn = IntegerModRing(n)
    srr = [a for a in Zn if gcd(a,n) == 1]
    return srr

In [5]:
def is_primitive_root(a, n): # verifica se 'a' é raíz primitiva de 'n'
    Zn = IntegerModRing(n)
    #return multiplicative_order(Zn(a)) == euler_phi(n)
    #return power_mod(Zn(a), euler_phi(n), n) == 1
    return power_mod(a, euler_phi(n), n) == 1

In [6]:
def get_ord(a, n): # retorna a ordem de 'a' em 'n'
    Zn = IntegerModRing(n)
    return multiplicative_order(Zn(a))

In [7]:
def get_ind(a, n, r): # retorna o indice de 'a' em 'r' para módulo 'n'
    for x in range (0, euler_phi(n)+1):
        if r^x == mod(a,n):
            return x

In [8]:
def get_residuos_quadraticos(p, a): # Lista de resíduos quadráticos
    lista = list()
    Zp = IntegerModRing(p)
    for x in Zp:
        if x^2 == a:
            lista.append(x)
    return lista

In [9]:
def get_residuos_quadraticos_legendre(p, a): # Lista de resíduos quadráticos
    lista = list()
    Zp = IntegerModRing(p)
    for x in Zp:
        if legendre_symbol(x, p) == 1:
            lista.append(x)
    return lista

In [10]:
def residuo_quadratico_CritEuler(a, p): # 'p' ímpar e 'p' não dívide 'a'. Output é resíduo quadrático.
    Zp = IntegerModRing(p)
    exp = (p-1)//2
    return jacobi_symbol(a,p) == power_mod(Zp(a), exp, p)

In [15]:
n = 4874199776762032183
Zn = IntegerModRing(n)
r = Zn(1564111718413659456)
a = 2063484835043722125


x = 1945473589762547835 
r^x == mod(a,n)

True

In [59]:
p = 23
a = 20
total = 0
for k in range (1,12):
    total = total + len(get_residuos_quadraticos(p, k*a))

total

8

In [60]:
p = 57619203398612914699
r = 2
b = 9115002375460472237

x = 1234
k = 4321

Zp = IntegerModRing(p)
r = Zp(r) # optimização
gama = power_mod(r,k,p)
delta = mod(x*b^k,p)
criptograma = gama, delta
criptograma

(16806724217122004366, 7824614627092383869)

In [52]:
p = 55540681755441238129
r = 13
b = 12772590286989137524

a = 12772590286989137524
indice_x = 21736048700748686856 # indice de 'a' em 'p' na base 'r'

# b = r^a

gama = 16055761497023349210
delta = 28640927469043013682

b == power_mod(r,21736048700748686856,p)

True

In [20]:
Zn = IntegerModRing(269)
power_mod(Zn(209), euler_phi(269),269) == 1

True

In [45]:
b = 6
n = 1111
print(b^((n-1)/2) == jacobi_symbol(b,n))
print(b^((n-1)/2) == -jacobi_symbol(b,n))

False
False


In [51]:
p = 59879295262580794019
r = 2
b = 46532948489070777896

gama = 31508193067819085597
delta = 42769957659645449029

# get_ind(b,p,r) = 26889797028840904448 # <= fi(p), t.q. r^26889797028840904448 == mod(b,p)

## Seja $r$ uma raíz primitiva de $n$. 

## $ind_r a = x$ significa que $1\le x\le \varphi(n)$ tal que $r^x \equiv a \mod n$.

In [None]:
p = 16456780161579311951
r = 10632721783361421121
aux = 12124670967023022731

#get_ind(12124670967023022731,p,r)
r^765875512 == mod(12124670967023022731,n)



In [83]:
a = 2
n = 5
get_ord(a, n)

4

In [84]:
a = 10
n = 13
get_ord(a, n)

6

In [87]:
a = 3
n = 10
get_ord(a, n)

4

In [88]:
a = 7
n = 10
get_ord(a, n)

4

In [89]:
a = 3
n = 11
get_ord(a, n)

5

In [90]:
a = 2
n = 17
get_ord(a, n)

8

In [91]:
a = 10
n = 21
get_ord(a, n)

6

In [92]:
a = 9
n = 25
get_ord(a, n)

10

In [64]:
# M.q. 5 é raíz primitiva de 6
n = 6
a = 5
Zn = IntegerModRing(n)

multiplicative_order(Zn(a)) == euler_phi(n)

True

In [103]:
power_mod(a, euler_phi(n), n) # = 1, logo 'a' é raíz primitiva de 'n'

1

In [66]:
is_primitive_root(a,n)

True

In [67]:
# M.q. 2 é uma raíz primitíva de 11
is_primitive_root(2, 11)

True

In [93]:
primitive_root(4)

3

In [94]:
primitive_root(5)

2

In [95]:
primitive_root(10)

7

In [97]:
primitive_root(13)

2

In [98]:
primitive_root(14)

3

In [99]:
primitive_root(18)

11

In [101]:
primitive_root(12)

ValueError: no primitive root

In [102]:
primitive_root(20)

ValueError: no primitive root

#### Nota: $ind_ra$
modulo 7 $\rightarrow$ $n = 7$

In [139]:
# Calcule, módulo 7, (ind_5)^2

r = 5
a = 2
n = 7
get_ind(a, n, r)

4

In [136]:
r = 5
a = 3
n = 7
get_ind(a, n, r)

5

In [137]:
r = 5
a = 6
n = 7
get_ind(a, n, r)

3

In [140]:
r = 5
a = 3^4
n = 7
get_ind(a, n, r)

2

In [25]:
# pub key
p = 2551
r = 6
b = 33

# message to cypher
msg = 133

elgamal_cypher(p,r,b,msg)

(2415, 91)

In [29]:
#priv key
a = 13

#message to decypher
gama = 421
delta = 95

#elgamal_decypher(gama, delta, a)
elgamal_decypher_opt(gama, delta, a, p)

133

In [12]:
p = 370113067
r = 3
b = 161485623
msg = 138616298

elgamal_cypher(p,r,b,msg)

(211749706, 101929852)

In [31]:
gama = 267037772
delta = 234691095
a = 164943214

elgamal_decypher_opt(gama, delta, a, p)

1856

In [105]:
jacobi_symbol(3,11)

1

In [106]:
jacobi_symbol(8,11)

-1

In [107]:
jacobi_symbol(24,11)

-1

In [108]:
jacobi_symbol(9,11)

1

In [109]:
jacobi_symbol(72,11)

-1

In [110]:
jacobi_symbol(21,235)

1

In [111]:
jacobi_symbol(101,159)

1

In [1]:
inverse_mod??

  self.out.append('}] \leavevmode ')
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """
  """


In [None]:
m=3
z =(H(m)-x*r)*(j)  ##O problema está no k^-1, que representa o inverso multiplicativo de k...
s =mod(z,p-1)    ## está errado porque apenas k é elevado a -1 e nao todo a expressao

In [2]:
inverse_mod??