<center>

**PRUEBAS DE CERO CONOCIMIENTO**

</center>

<p align="center">
    <img src="https://logowik.com/content/uploads/images/escudo-de-la-universidad-nacional-de-colombia-20163327.logowik.com.webp" width="400">
</p>

<center>

# **🧾PRUEBAS DE CERO CONOCIMIENTO📜**

<p align="center">
    <img src="https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/07/cueva.jpg?fit=800%2C220&ssl=1" width="600">
</p>

<div align="justify">

Las **Pruebas de Cero Conocimiento** (Zero‑Knowledge Proofs, ZKP) son protocolos interactivos que permiten a un **prover** demostrar a un **verifier** que posee cierta información secreta, sin revelar nada adicional más allá de la validez de su afirmación. Este concepto revolucionario, introducido por Goldwasser, Micali y Rackoff en 1985, ha tenido un impacto profundo en criptografía, pues permite establecer confianza sin comprometer la privacidad.

El **protocolo de identificación de Schnorr**, propuesto por Claus Schnorr en 1990, es uno de los esquemas ZKP más elegantes y eficientes basados en el **problema del logaritmo discreto**:

- Se basa en la dificultad de resolver la ecuación  
  $$
    g^x \equiv y \pmod p
  $$  
  cuando $p$ es un primo grande y $q$ (tal que $p=2q+1$) es también primo. Este problema asegura que, dado $y$ y $g$, resulta computacionalmente inviable recuperar $x$ en tiempo razonable.

- Schnorr adapta esta idea para diseñar un **protocolo interactivo de identificación**, donde un usuario (Prover) demuestra que conoce $x$ (su clave secreta) sin revelarla, garantizando:
  1. **Completitud**: un Prover honesto siempre convence al Verifier.  
  2. **Sonoridad** (soundness): un impostor tiene una probabilidad despreciable de engañar.  
  3. **Cero conocimiento**: el Verifier no aprende nada sobre $$x$$ aparte de su posesión.

Este protocolo se emplea en sistemas de autenticación sin contraseñas, firma digital (mediante la transformación Fiat–Shamir) y esquemas de anonimato en criptomonedas. Su eficiencia (solo operaciones de exponenciación modular y unos pocos exponentes) lo hace idóneo para entornos con recursos limitados.


---

**Fundamentos Matemáticos**

**Grupo cíclico seguro**

- Seleccionamos un **primo seguro**  
  $$
    p = 2\,q + 1,
  $$  
  donde $q$ también es primo.  
- El grupo multiplicativo  
  $$
    \mathbb{Z}_p^* = \{1,2,\dots,p-1\},
  $$  
  utiliza la operación  
  $$
    a \times b \bmod p.
  $$
- Elegimos un **generador** $g\in\mathbb{Z}_p^*$ de orden exactamente $q$, es decir:  
  $$
    g^q \equiv 1 \pmod p,
    \quad
    g^k \not\equiv 1 \pmod p\quad\forall\,0<k<q.
  $$

**Problema del Logaritmo Discreto**

- **Fácil**: calcular  
  $$
    y = g^x \bmod p
  $$  
  dado $(p,g,x)$.
- **Difícil**: resolver  
  $$
    g^x \equiv y \pmod p
  $$  
  para hallar $x$ dado $(p,g,y)$.  
Este problema es la base de seguridad: infligirlo cuesta tiempo exponencial en el tamaño de $q$.

---

**Protocolo Interactivo de Schnorr**

El objetivo es que un **Prover** (conoce secreto $x$) convenza a un **Verifier** de que sabe $x$, **sin revelarlo**.

1. **Parámetros públicos**  
   $$
     p,\;q,\;g
     \quad\text{con}\quad
     p=2q+1,\;
     g^q\equiv1\pmod p.
   $$

2. **Key Generation**  
   - Prover elige secreto  
     $$
       x\;\in\;\{0,\dots,q-1\}.
     $$  
   - Calcula clave pública  
     $$
       y = g^x \bmod p.
     $$

3. **Commit**  
   - Prover escoge aleatorio  
     $$
       r\;\in\;\{0,\dots,q-1\}.
     $$  
   - Envía  
     $$
       t = g^r \bmod p
     $$  
   al Verifier.

4. **Challenge**  
   - Verifier escoge aleatorio  
     $$
       c\;\in\;\{0,\dots,q-1\}
     $$  
   y lo envía al Prover.

5. **Respond**  
   - Prover calcula  
     $$
       s = (r + c\,x)\bmod q
     $$  
   - Envía $s$ al Verifier.

6. **Verify**  
   - Verifier comprueba  
     $$
       g^s \;\stackrel{?}{=}\; t \;\cdot\; y^c
       \pmod p.
     $$  
   - Si la igualdad se cumple, acepta; si no, rechaza.

---

**Propiedades de Seguridad**

**Completitud**  
Un Prover honesto siempre cumple:  
$$
  g^s
  = g^{r + c\,x}
  = g^r \,\cdot\, (g^x)^c
  = t \;\cdot\; y^c
  \;\bmod p.
$$

**Solidez (Soundness)**  
Un impostor sin conocer $x$ sólo puede adivinar $(t,s)$; su probabilidad de pasar una ronda es $\tfrac1q$. Tras $k$ rondas, la probabilidad de engaño es  
$$
  \bigl(1/q\bigr)^{k}.
$$

**Cero Conocimiento**
Existe un _simulador_ que, sin conocer $x$, construye un transcript indistinguible:
1. Elegir $c'\!\leftarrow\{0,\dots,q-1\}$ y $s'\!\leftarrow\{0,\dots,q-1\}$.
2. Calcular  
   $$
     t' = g^{s'}\;\cdot\;(y^{c'})^{-1}\bmod p.
   $$
3. El triple $(t',c',s')$ tiene la misma distribución que uno real, por lo que no revela nada sobre $x$.

---

**Relación con el Código Interactivo**

En la demo de Colab:

- **generate_safe_prime(bits)** y **find_generator(p,q)** implementan la generación de $(p,q,g)$.  
- Clase **Prover**: métodos `commit()` y `respond(c)`.  
- Clase **Verifier**: métodos `challenge()` y `verify(t,c,s)`.  
- Clase **SchnorrSession** orquesta las rondas con sliders y botones.

Las tres fases del botón (“Commit → Challenge → Respond”) ejecutan exactamente los pasos 3–6 del protocolo.

---

**Ejemplo Numérico Reducido**

Para ilustrar con valores pequeños (¡no seguro para producción!):

- $p=23,\;q=11,\;g=2$, Prover elige $x=6$, publica $y=2^6\bmod23=18$.

<center>

| Paso      | Cálculo                                | Resultado |
|-----------|----------------------------------------|-----------|
| Commit    | $r=3$, $t=2^3\bmod23$                  | $t=8$     |
| Challenge | $c=7$                                  | $c=7$     |
| Respond   | $s=(3+7·6)\bmod11$                     | $s=1$     |
| Verify    | $2^1\bmod23\;\stackrel{?}{=}\;8·18^7\bmod23$ | coincide  |


</center>

---

**Extensión: Fiat–Shamir (No interactivo)**

Se sustituye el reto aleatorio por un hash:
$$
  c
  = \bigl\lfloor
      \mathrm{SHA256}\bigl(p\parallel q\parallel g\parallel y\parallel t\parallel\mathrm{msg}\bigr)
    \bigr\rfloor_{\!\bmod\,q}.
$$

El Prover calcula $s=(r + c\,x)\bmod q$ y el Verifier comprueba como antes. Esto convierte la prueba en un **firmado no interactivo**.

</div>


**📥Instalación paquetes📦**

In [1]:

!pip install -q pycryptodome

[2K   [90m━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━[0m [32m2.3/2.3 MB[0m [31m10.8 MB/s[0m eta [36m0:00:00[0m
[?25h

**📥Importaciones📦**

In [2]:

import secrets, logging
import ipywidgets as widgets
from IPython.display import display, clear_output
from dataclasses import dataclass
from typing import Tuple
from Crypto.Util import number

**👨‍💻Implementación👩‍💻**

In [3]:

logging.basicConfig(level=logging.ERROR)

def generate_safe_prime(bits: int=256) -> Tuple[int,int]:
    while True:
        q = number.getPrime(bits)
        p = 2*q + 1
        if number.isPrime(p): return p, q

def find_generator(p:int, q:int) -> int:
    while True:
        h = secrets.randbelow(p-3)+2
        g = pow(h,(p-1)//q,p)
        if g!=1: return g

@dataclass
class PublicParams: p:int; q:int; g:int

class Prover:
    def __init__(self, params:PublicParams):
        self.p,self.q,self.g = params.p,params.q,params.g
        self.x = secrets.randbelow(self.q)
        self.y = pow(self.g,self.x,self.p)
    def commit(self):
        self.r = secrets.randbelow(self.q)
        self.t = pow(self.g,self.r,self.p)
        return self.t
    def respond(self,c:int):
        return (self.r + c*self.x) % self.q

class Verifier:
    def __init__(self, params:PublicParams,y:int):
        self.p,self.q,self.g = params.p,params.q,params.g
        self.y = y
    def challenge(self):
        self.c = secrets.randbelow(self.q)
        return self.c
    def verify(self,t:int,c:int,s:int)->bool:
        return pow(self.g,s,self.p) == (t * pow(self.y,c,self.p)) % self.p

class SchnorrSession:
    def __init__(self, rounds:int, bits:int):
        p,q = generate_safe_prime(bits)
        g   = find_generator(p,q)
        params = PublicParams(p,q,g)
        self.prover = Prover(params)
        self.verifier = Verifier(params, self.prover.y)
        self.rounds = rounds

**👨‍💻Implementación👩‍💻**

In [5]:

bits_slider   = widgets.IntSlider(value=256, min=64, max=1024, step=64, description='Bits q:')
rounds_slider = widgets.IntSlider(value=5,   min=1,   max=20,   step=1,  description='Rondas:')
init_btn      = widgets.Button(description="Inicializar", button_style='primary')
step_btn      = widgets.Button(description="⏹️ Esperando init", disabled=True)
cheat_chk     = widgets.Checkbox(value=False, description='Prover engaña')
secret_txt    = widgets.BoundedIntText(value=0, min=0, max=0, description='x (secreto)', disabled=True)
output        = widgets.Output(layout={'border':'1px solid #ccc','padding':'10px'})

session = None
rnd = 0
stage = None

def init_click(_):
    global session, rnd, stage
    with output:
        clear_output()
        session = SchnorrSession(rounds_slider.value, bits_slider.value)
        max_x = session.prover.q - 1
        secret_txt.max = max_x
        secret_txt.value = session.prover.x
        secret_txt.disabled = False
        print(f"✅ Parámetros públicos:\n  p = {session.verifier.p}\n  q = {session.verifier.q}\n  g = {session.verifier.g}")
        print(f"🔑 Secreto inicial (aleatorio): x = {session.prover.x}")
    rnd = 1
    stage = 'commit'
    step_btn.description = f'Commit (ronda {rnd})'
    step_btn.disabled = False

def step_click(_):
    global rnd, stage
    with output:
        if stage=='commit':
            session.prover.x = secret_txt.value
            session.prover.y = pow(session.prover.g, session.prover.x, session.prover.p)
            t = session.prover.commit()
            print(f"● Ronda {rnd} – Commit → t = {t}")
            stage = 'challenge'
            step_btn.description = f'Challenge (ronda {rnd})'
            return
        if stage=='challenge':
            c = session.verifier.challenge()
            print(f"● Ronda {rnd} – Challenge → c = {c}")
            stage = 'respond'
            step_btn.description = f'Respond (ronda {rnd})'
            return
        if stage=='respond':
            c = session.verifier.c
            if cheat_chk.value:
                s = secrets.randbelow(session.prover.q)
                print(f"● Ronda {rnd} – Respond (tramposo) → s = {s}")
            else:
                s = session.prover.respond(c)
                print(f"● Ronda {rnd} – Respond → s = {s}")
            ok = session.verifier.verify(session.prover.t, c, s)
            print(f"   ➥ Verificación = {'✅ Éxito' if ok else '❌ Fallo'}\n")
            if rnd < session.rounds:
                rnd += 1
                stage = 'commit'
                step_btn.description = f'Commit (ronda {rnd})'
            else:
                print(f"🎉 Protocolo completado tras {session.rounds} rondas.")
                step_btn.disabled = True

init_btn.on_click(init_click)
step_btn.on_click(step_click)

display(widgets.VBox([
    widgets.HBox([bits_slider, rounds_slider]),
    widgets.HBox([init_btn, step_btn, cheat_chk]),
    secret_txt,
    output
]))


VBox(children=(HBox(children=(IntSlider(value=256, description='Bits q:', max=1024, min=64, step=64), IntSlide…