# Teoria de Números Computacional



* Bruna Araújo a84408
* Francisco Oliveira a82066
* Márcia Cerqueira a87992


#  Esquema de assinatura ElGamal 


O esquem de assinatura ElGamal é um sistema de chave pública que foi concebido em 1984 e publicado em 1985 pelo egípcio Taher ElGamal 

Denotado como sendo um algoritmo assimétrico não comutativo cuja assimetria se baseia na dificuldade de se resolver o PLD(Problema Logaritmo Discreto), isto é, de se extrair logaritmos discretos em corpos finitos a sua implementação pode ser efetuada em qualquer grupo finito onde o PLD (Problema Logaritmo Discreto) seja intratável. É um esquema de assinatura digital baseado na dificuldade de calcular logaritmos discretos. 


O algoritmo usa um par de chaves que consiste em uma chave pública e uma chave privada. A chave privada é usada para gerar uma assinatura digital para uma mensagem, e tal assinatura pode ser verificada usando a chave pública correspondente do assinante. A assinatura digital fornece autenticação de mensagem (o destinatário pode verificar a origem da mensagem), integridade (o destinatário pode verificar se a mensagem não foi modificada desde que foi assinada) e não repúdio (o remetente não pode alegar falsamente que não assinou a mensagem).

## Implementação do Código

1) Vamos começar por gerar as chaves pública e privada. 

- Escolher um $p$ primo aleatório.

In [1]:
import hashlib

nbits=1024

p = random_prime(2^(nbits//2), 2^(nbits//2-1))
    
p  


2904590384121050632305945599607157252494578262405173954394670043017892729739820574803364729194573313472025253689239672459884153560184790901754758566019927

- Selecionar um número <b>g</b> aleatorio pertencente ao grupo multiplicativo modulo <b>p</b>.

In [2]:
g = randint(2,p)
print("g: ", g)
gcd (g,p) == 1

g:  894902188668467414321852047332245327027591763780321847083116331240536047558658229116433251743499947275703769718193746258906036776691146328948192186396557


True

Os parametros (p,g) do algoritmo são públicos.

- Escolher um número <b>x</b> aleatório menor que $p-1$.

In [3]:
x = randint(1, p-1)
x

1701222081403213288469637029832667856714046241421956155675967834916316798656271540085318501815274057003333986823694646700894006614875719774621486521069162

- Calcular $y \equiv g^x \mod p$.


In [4]:
y = power_mod(g, x, p)
y

1443720638901314184268825753881614284103096417882903246679258779133818681481052323064436279603464933229060751980456644903652461721070509592071136283456211

E assim obtemos a chave privada e pública <b>x</b> e <b>y</b>.

2) Em seguida, especificamos o processo de assinatura de uma mensagem m.
Para isso vamos recorrer ao hash da mensagem sugerido pelo professor.

In [5]:
msg = "nobody expects the spanish inquisition"

msg=msg.encode('utf-8')
msg=hashlib.sha256(msg).hexdigest()
mensagem=ZZ('0x'+msg)

mensagem

106649133920046447767164757284166930878040734821324164877416181438027188659086

- Escolher um inteiro <b>k</b> aleatorio entre 2 e p-2. Sendo <b>k</b> primo relativo com p-1.

In [6]:
k = randint(2, p-2)

while(gcd(k,p-1) != 1):
    k = randint(2, p-2)
    
print("k :" , k)
print(gcd(k,p-1) == 1)

k : 1666589298416982196929342760497366437001027415458199411566884917538917515873973986722732413365108025271728651910833404154228201533396521475863191969572637
True


- Calcular $r \equiv g^k \mod p$.

In [7]:
r = power_mod(g, k, p)
r


2063289866876048003671182317828223972693015691399397773063210154235936257712127666784849705124478897687896842269495952595061519025945609108389145670002942

- Calcular $s \equiv (H_m - xr)k^{-1} \mod p - 1$. 

In [8]:
H_m = mensagem

s = ((H_m - x*r) * power_mod(k, -1, p-1)) % (p-1)
s


1717030734558271848524772469883919293303334369270740265376103666783808925202470999936708359861568035647161285051241442917135947701565221597020310099243222

No caso de s = 0, devemos reiniciar o processo escolhendo outro valor para <b>k</b>. 

A assinatura é o par (r,s).

A assinatura é valida se $0 < r < p$ e $0 < s < p - 1$

In [9]:
print(r<p and r>0)
print(s<p-1 and s>0)

True
True


- E se $g ^ {H(m)} \equiv y^r r^s \mod p$

In [10]:
power_mod(g,H_m,p) == (power_mod(y,r,p)*power_mod(r,s,p))%p

True