# Taller 1

## Nombres:
-
- Andrès Molano Betancourth - 202215460
- Julian David Gonzalez - 202311757
- Juan Felipe Hernández - 202310576

---
## Punto 1


### Solución Cifrado Afín

La función de cifrado afín está definida por:
$$
E_{a,b}(x) = (a x + b) \bmod 26
$$

#### a) Valores posibles de $a$ y $b$ para poder descifrar
Para que la función de cifrado sea invertible (y por lo tanto se pueda descifrar), el multiplicador $a$ debe tener un inverso multiplicativo módulo 26. Esto significa que **el máximo común divisor entre $a$ y 26 debe ser 1** (es decir, $a$ debe ser coprimo con 26).

El desplazamiento $b$ puede ser cualquier número entre 0 y 25.

Los valores posibles para $a$ en $\mathbb{Z}_{26}$ son: $1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25$.

#### b) Total de claves válidas $k = (a, b)$
Sabiendo que existen 12 valores posibles para $a$ y 26 valores posibles para el desplazamiento $b$, el total de combinaciones de claves válidas es la multiplicación de ambos:
$$
12 \times 26 = 312 \text{ claves válidas}
$$

#### c) Descifrar el mensaje interceptado
##### i)Determine el valor de a
Se realiza un ataque de fuerza bruta sobre los 12 posibles valores de \(a\) (ya que \(b = 20\) es conocido). Para cada \(a\) se calcula su inverso modular y se descifra todo el texto. El único valor que produce un texto con sentido en español es \(a = 17\).
##### ii. Descifre el texto y recupere el mensaje original.

El mensaje descifrado (sin espacios) es:

> "SILAGENTENOCREEQUELASMATEMATICASSONSIMPLESESSOLOPORQUENOSEDANCUENTADELOCOMPLICADAQUEES
LAVIDAJOHNVONNEUMANN"

##### iii. Explique claramente el procedimiento utilizado.
Se implementó una función para hallar el inverso modular de \(a\) módulo 26. Luego, para cada \(a\) en la lista de valores coprimos con 26, se aplicó la fórmula de descifrado:
\[
$$ x = a^{-1} \cdot (y - b) \pmod{26} $$
\]
donde \(y\) es el número de la letra cifrada (A=0,...,Z=25). Se generaron 12 posibles textos y se inspeccionó visualmente cuál de ellos correspondía a español. El único con sentido fue el obtenido con \(a = 17\) (cuyo inverso es 23). El procedimiento se automatizó con el siguiente código en Python:


In [16]:
def mod_inverse(a, m):
    """Encuentra el inverso multiplicativo de 'a' modulo 'm'."""
    for x in range(1, m):
        if (a * x) % m == 1:
            return x
    return None

In [17]:
ciphertext = "OAZUSKHFKHYCXKKGWKZUOQUFKQUFACUOOYHOAQPZKOKOOYZYPYXGWKHYOKTUHCWKHFUTKZYCYQPZACUTUGWKKOZUNATURYJHNYHHKWQUHH"
b = 20
m = 26
print("Texto a descifrar: \n"+ciphertext)

Texto a descifrar: 
OAZUSKHFKHYCXKKGWKZUOQUFKQUFACUOOYHOAQPZKOKOOYZYPYXGWKHYOKTUHCWKHFUTKZYCYQPZACUTUGWKKOZUNATURYJHNYHHKWQUHH


In [18]:
# Los 12 valores coprimos con 26
valores_a = [1, 3, 5, 7, 9, 11, 15, 17, 19, 21, 23, 25]

print("Probando las 12 claves posibles para 'a':\n")
for a in valores_a:
    a_inv = mod_inverse(a, m)
    plaintext = ""
    for char in ciphertext:
        y = ord(char) - ord('A')
        x = (a_inv * (y - b)) % m
        plaintext += chr(x + ord('A'))
    
    print(f"-> Probando a={a}, Inverso a^(-1)={a_inv}:")
    print(f"{plaintext[:200]}...\n")

Probando las 12 claves posibles para 'a':

-> Probando a=1, Inverso a^(-1)=1:
UGFAYQNLQNEIDQQMCQFAUWALQWALGIAUUENUGWVFQUQUUEFEVEDMCQNEUQZANICQNLAZQFEIEWVFGIAZAMCQQUFATGZAXEPNTENNQCWANN...

-> Probando a=3, Inverso a^(-1)=9:
YCTAIONVONKUBOOESOTAYQAVOQAVCUAYYKNYCQHTOYOYYKTKHKBESONKYORANUSONVAROTKUKQHTCUARAESOOYTAPCRAZKFNPKNNOSQANN...

-> Probando a=5, Inverso a^(-1)=21:
EWBAKYNXYNGMLYYSQYBAEUAXYUAXWMAEEGNEWUZBYEYEEGBGZGLSQYNGEYFANMQYNXAFYBGMGUZBWMAFASQYYEBAJWFAPGDNJGNNYQUANN...

-> Probando a=7, Inverso a^(-1)=15:
OMXAWGNJGNIQTGGYEGXAOSAJGSAJMQAOOINOMSDXGOGOOIXIDITYEGNIOGLANQEGNJALGXIQISDXMQALAYEGGOXAZMLAHIRNZINNGESANN...

-> Probando a=9, Inverso a^(-1)=3:
ISPAUWNHWNMYJWWKGWPAIOAHWOAHSYAIIMNISOLPWIWIIMPMLMJKGWNMIWXANYGWNHAXWPMYMOLPSYAXAKGWWIPAFSXARMTNFMNNWGOANN...

-> Probando a=11, Inverso a^(-1)=19:
QKRAOSNBSNYWFSSUMSRAQCABSCABKWAQQYNQKCJRSQSQQYRYJYFUMSNYQSHANWMSNBAHSRYWYCJRKWAHAUMSSQRAXKHAVYZNXYNNSMCANN...

-> Probando a=15, Inverso a^(-1)=7:
KQJAMINZINCEVIIGOIJAKYAZIYAZQEAKKCNKQYRJI

Al ejecutarlo, se observa que para \(a=17\) el texto resultante es legible.

##### iv. Agregue los espacios necesarios para hacer legible el mensaje.

El mensaje original con espacios y puntuación es:

> **"SI LA GENTE NO CREE QUE LAS MATEMATICAS SON SIMPLES ES SOLO PORQUE NO SE DAN CUENTA DE LO COMPLICADA QUE ES LA VIDA JOHN VON NEUMANN"**



---
## Punto 2

Considere el cifrado de Hill sobre $\mathbb{Z}_{26}$ con bloques de tamaño 2, definido por: 

$$E_{k}(x) = xK (mód 26)$$

donde $x \in \mathbb{Z}_{26}^{2}$ es un vector fila y $K \in \mathbb{Z}_{26}^{2x2}$ es la matriz clave.
Sea la matriz 

$$ 
K = 
\begin{bmatrix} 
24 & 5 \\ 
13 & 7
 \end{bmatrix}
$$


### a. Determine si la matriz K constituye una clave válida para el cifrado de Hill. Justifique su respuesta.

Sea el alfabeto L con |L| = n. Una matriz $ K \in \mathbb{Z}_{n}^{i x j} $  constituye una clave válida para el cifrado de Hill si:
- i = j. Es decir, una matriz cuadrada
- K invertible en $\mathbb{Z}_{n}$

Para que K sea invertible en $\mathbb{Z}_{n}$ se debe de cumplir que gcd(det(K) mód n, n) = 1. Es decir, que el determinante de la matriz bajo el módulo del tamaño del alfabeto sea coprimo con el tamaño del alfabeto.

Por lo tanto, para nuestro caso:
- K es cuadrada
- n = 26

In [122]:
import numpy as np

In [123]:
def euclides_algorithm(a, b):
    if a < b:
        a, b = b, a
    if b == 0:
        return a
    else:
        return euclides_algorithm(b, a % b)

In [124]:
def id_valid_hill_key(key: np.array, n: int) -> bool:
    is_valid = False
    if key.shape[0] == key.shape[1]:
        det_k = np.linalg.det(key)
        if det_k != 0 and det_k % n != 0:
            if euclides_algorithm(int(det_k), n) == 1:
                is_valid = True
    return is_valid

In [125]:
K = np.array([
    [24, 5],
    [13, 7]
])

In [126]:
print("K es una matriz válida" if id_valid_hill_key(K, 26) else "K no es una matriz válida")

K es una matriz válida


Dado que se cumplieron todas las condiciones, la matriz K si es una clave válida para el cifrado de Hill.


### b. Se interceptaron los siguientes textos cifrados, que fueron generados utilizando la matriz K. Descífrelos:
<center>
c = [M, L], 
c' = [R, E]
<center>


Para descifrarlos requerimos encontrar $K^{-1}$

In [127]:
def extended_euclidean(a, b):
    if a == 0:
        return b, 0, 1
    gcd, t1, s1 = extended_euclidean(b % a, a)
    t = s1 - (b // a) * t1
    s = t1    
    return gcd, t, s

In [128]:
def invert_key(key: np.array, n: int) -> np.array:
    det_k = int(np.linalg.det(key))
    gcd, det_inv, s = extended_euclidean(det_k % n, n)
    det_inv = det_inv % n
    key_inv = det_inv * np.array([
        [key[1][1], -key[0][1]], 
        [-key[1][0], key[0][0]]])
    return key_inv % n

In [129]:
print(invert_key(K, 26))

[[19  5]
 [13  2]]


Ahora procedemos a construir la función que nos permitirá descifrar el mensaje cifrado.

In [130]:
def decrypt_hill(cipher_v: np.array, key: np.array, n: int) -> str:
    alphabet = {chr(i + ord('A')): i for i in range(26)}
    cipher_v = np.array([alphabet[char] for char in cipher_v])
    key_inv = invert_key(key, n)
    decrypted_v = np.dot(cipher_v, key_inv) % n
    decrypted_v = np.array([chr(int(num) + ord('A')) for num in decrypted_v])
    return decrypted_v
    

In [131]:
c = np.array(['M', 'L'])
c_p = np.array(['R', 'E'])
decrypted_message = decrypt_hill(c, K, 26)
decrypted_message_p = decrypt_hill(c_p, K, 26)
print("Mensaje descifrado c:", decrypted_message)
print("Mensaje descifrado c':", decrypted_message_p)

Mensaje descifrado c: ['H' 'E']
Mensaje descifrado c': ['L' 'P']



### c. Suponga ahora un escenario de ataque de texto claro conocido, en el cual el atacante dispone
de pares $(m_{i},c_{i})$ (plaintext, ciphertext), pero desconoce la matriz K, donde $c_{i} = m_{i}K$ (mód 26)

- Explique cómo modelaría matemáticamente el problema de recuperar la matriz K a
partir de dicha información.

Dado que deseamos recuperar la matriz, tomemos la forma $c_{i} = m_{i}K$ (mód 26), por lo tanto, 
si se expande se tiene que: 

$$ 
\begin{bmatrix} 
c_{i}^{0} & c_{i}^{1} & ... & c_{i}^{n}
 \end{bmatrix}

= 

\begin{bmatrix} 
m_{i}^{0} & m_{i}^{1} & ... & m_{i}^{n}
 \end{bmatrix}

\begin{bmatrix} 
k_{0, 0} & k_{0, 1} & ... & k_{0, n} \\
k_{1, 0} & k_{1, 1} & ... & k_{1, n} \\
... & ... & ... & ... \\
k_{n, 0} & k_{n, 1} & ... & k_{n, n}
 \end{bmatrix}
$$

Y por lo tanto lo podemos ver como un sistema de ecuaciones: 


$$
\begin{cases}
m_{i}^{0} \cdot k_{0,0} + m_{i}^{1} \cdot k_{1, 0} + ... + m_{i}^{n} \cdot k_{0,n} = c_{i}^{0} \\
m_{i}^{0} \cdot k_{0,1} + m_{i}^{1} \cdot k_{1, 1} + ... + m_{i}^{n} \cdot k_{1,n} = c_{i}^{1} \\
... \\
m_{i}^{0} \cdot k_{0,n} + m_{i}^{1} \cdot k_{1, n} + ... + m_{i}^{n} \cdot k_{n,n} = c_{i}^{n}
\end{cases}
$$

Dado que cada fila se expresa como una ecuación independiente respecto a las variables $k_{l, n}$, requerimos de varios pares $(m_{i}, c_{i})$ para poder obtener las suficientes ecuaciones para formar el sistema de las variables $k_{l, n}$, teniendo en cuenta que $l$ representa una fila de variables dentro de la matriz K.

- Explique cómo modelaría matemáticamente el problema de recuperar la matriz K a
partir de dicha información.

**Modelado matemático del problema:**

Dado que conocemos pares $(m_i, c_i)$ y la relación $c_i = m_i K \pmod{26}$, podemos modelar el problema de la siguiente manera:

**1. Expandiendo la ecuación matricial:**

Para una matriz K de tamaño $n \times n$, la ecuación $c_i = m_i K$ se puede expandir como:

$$ 
\begin{bmatrix} 
c_{i}^{0} & c_{i}^{1} & \cdots & c_{i}^{n-1}
\end{bmatrix}
= 
\begin{bmatrix} 
m_{i}^{0} & m_{i}^{1} & \cdots & m_{i}^{n-1}
\end{bmatrix}
\begin{bmatrix} 
k_{0,0} & k_{0,1} & \cdots & k_{0,n-1} \\
k_{1,0} & k_{1,1} & \cdots & k_{1,n-1} \\
\vdots & \vdots & \ddots & \vdots \\
k_{n-1,0} & k_{n-1,1} & \cdots & k_{n-1,n-1}
\end{bmatrix}
\pmod{26}
$$

**2. Sistema de ecuaciones lineales:**

Cada par $(m_i, c_i)$ genera $n$ ecuaciones lineales (una por cada componente del vector cifrado):

$$
\begin{cases}
m_{i}^{0} \cdot k_{0,0} + m_{i}^{1} \cdot k_{1,0} + \cdots + m_{i}^{n-1} \cdot k_{n-1,0} \equiv c_{i}^{0} \pmod{26} \\
m_{i}^{0} \cdot k_{0,1} + m_{i}^{1} \cdot k_{1,1} + \cdots + m_{i}^{n-1} \cdot k_{n-1,1} \equiv c_{i}^{1} \pmod{26} \\
\vdots \\
m_{i}^{0} \cdot k_{0,n-1} + m_{i}^{1} \cdot k_{1,n-1} + \cdots + m_{i}^{n-1} \cdot k_{n-1,n-1} \equiv c_{i}^{n-1} \pmod{26}
\end{cases}
$$

**3. Formulación matricial del sistema:**

Si recopilamos $n$ pares $(m_1, c_1), (m_2, c_2), \ldots, (m_n, c_n)$, podemos construir el sistema:

$$
\begin{bmatrix} 
m_1^{0} & m_1^{1} & \cdots & m_1^{n-1} \\
m_2^{0} & m_2^{1} & \cdots & m_2^{n-1} \\
\vdots & \vdots & \ddots & \vdots \\
m_n^{0} & m_n^{1} & \cdots & m_n^{n-1}
\end{bmatrix}
\begin{bmatrix} 
k_{0,0} & k_{0,1} & \cdots & k_{0,n-1} \\
k_{1,0} & k_{1,1} & \cdots & k_{1,n-1} \\
\vdots & \vdots & \ddots & \vdots \\
k_{n-1,0} & k_{n-1,1} & \cdots & k_{n-1,n-1}
\end{bmatrix}
\equiv
\begin{bmatrix} 
c_1^{0} & c_1^{1} & \cdots & c_1^{n-1} \\
c_2^{0} & c_2^{1} & \cdots & c_2^{n-1} \\
\vdots & \vdots & \ddots & \vdots \\
c_n^{0} & c_n^{1} & \cdots & c_n^{n-1}
\end{bmatrix}
\pmod{26}
$$

O de forma compacta: $MK \equiv C \pmod{26}$

**4. Solución del sistema:**

Si la matriz $M$ (formada por los vectores de texto plano) es invertible en $\mathbb{Z}_{26}$, podemos recuperar $K$ mediante:

$$K \equiv M^{-1}C \pmod{26}$$

El problema se reduce a resolver un sistema de ecuaciones lineales en aritmética modular, donde necesitamos suficientes pares $(m_i, c_i)$ para formar una matriz $M$ invertible y así recuperar la matriz clave $K$.

- Determine el número mínimo de pares $(m_{i},c_{i})$ necesarios para recuperar completamente
la matriz K e indique qué condición deben satisfacer dichos pares.


**Número mínimo de pares**

Para una matriz K de tamaño $n \times n$, tenemos $n^2$ incógnitas (elementos $k_{i,j}$).

Cada par $(m_i, c_i)$ proporciona n ecuaciones (una por cada columna de la matriz K), ya que:
- $c_i$ tiene n componentes
- $m_i$ tiene n componentes

Por lo tanto, el número mínimo de pares necesarios es:

$$\text{Número mínimo} = n$$

Con $n$ pares obtenemos $n \times n = n^2$ ecuaciones para $n^2$ incógnitas.

**Condición que deben satisfacer**

Los pares $(m_i, c_i)$ deben satisfacer que la matriz M formada por los vectores $m_i$ sea invertible (mód 26):

$$
M = \begin{bmatrix} 
m_1^0 & m_1^1 & \cdots & m_1^{n-1} \\
m_2^0 & m_2^1 & \cdots & m_2^{n-1} \\
\vdots & \vdots & \ddots & \vdots \\
m_n^0 & m_n^1 & \cdots & m_n^{n-1}
\end{bmatrix}
$$

**Condición:** $\det(M) \not\equiv 0 \pmod{26}$ y $\gcd(\det(M), 26) = 1$

Esto garantiza que los vectores $m_i$ sean linealmente independientes (módulo 26), permitiendo resolver el sistema:

$$C = MK \pmod{26}$$
$$K = M^{-1}C \pmod{26}$$

donde:
- $C$ es la matriz formada por los vectores $c_i$
- $M^{-1}$ es la inversa modular de M

---
## Punto 3

Hay un mensaje cifrado con el criptosistema de Vigenere:

In [1]:
message = """
IAKEHSSFUGQMRWLWLREAFDWOYRBLVWXDYTQRYOSNYQJYRYIJSBVEJKSEYGPEEEYLGBATBIEDFOGHRUKJ
UALMBWLWLGPEBOHOIZINNGSJYQPEEVSEOPPTUDXKBRUAQHLWLNAMNOPJYQDEYYILBBWDVWWMCGMDUHVH
YENEPWPQUALFERQLBNBDNBSFYIMRLRRWWNTLRGLWLYQTGOIJYQZIQLRYBBWDBQIEIEVIAJLWLZWTUHVK
UVLCBPIDCGBLRUIVLVLIAJLGIQPEEHWSJVMCRRJUUXMAAGETIGBLRRJOCAMTNNILBRUTBBSMLTZAAGQG
NUMRFKIKMVKKNQHOYNSAAGXZCFEIYOHGBRZGBRHYIOMFBUIANTMTFWSGBBBAAGVWGRUBRUXGQNTKPDVW
ZHTLLGSFNFBRNBJJIZBHRSELBBZYBXQAAUBFNOPSHQJRRDOLBRJOGWPWUALWUHRQIHIRELZWXBVTSRVY
YGBOFDCYIBLMBURAHTJESRVWSBCPRHOSLBCNQKIJLBWMVOPTYPIRRIYDGBBHRUWSCQTIGWPWLRLRVGMF
AUWOQDRVMUMPERQAMRLWVWLSMZQLRWLWAEINQPSLBRZLVYIVXRMPVQXZYSWRRVXSVBCTUDPXUYMATXIX
LBUTUHZAFYIGRMYKNNALVWXDYEMDELHAHTPOBGIFNRZEQWLWQBWDFDAGFSIPCHEJYQWNGKIHUGPSUHHA
XABKARAOBNBAJLGCYQKRRDXMLRPEJDWSHQNEYWRGZRIRNWEDF
"""

In [2]:
message = message.replace("\n", "")
print(message)

IAKEHSSFUGQMRWLWLREAFDWOYRBLVWXDYTQRYOSNYQJYRYIJSBVEJKSEYGPEEEYLGBATBIEDFOGHRUKJUALMBWLWLGPEBOHOIZINNGSJYQPEEVSEOPPTUDXKBRUAQHLWLNAMNOPJYQDEYYILBBWDVWWMCGMDUHVHYENEPWPQUALFERQLBNBDNBSFYIMRLRRWWNTLRGLWLYQTGOIJYQZIQLRYBBWDBQIEIEVIAJLWLZWTUHVKUVLCBPIDCGBLRUIVLVLIAJLGIQPEEHWSJVMCRRJUUXMAAGETIGBLRRJOCAMTNNILBRUTBBSMLTZAAGQGNUMRFKIKMVKKNQHOYNSAAGXZCFEIYOHGBRZGBRHYIOMFBUIANTMTFWSGBBBAAGVWGRUBRUXGQNTKPDVWZHTLLGSFNFBRNBJJIZBHRSELBBZYBXQAAUBFNOPSHQJRRDOLBRJOGWPWUALWUHRQIHIRELZWXBVTSRVYYGBOFDCYIBLMBURAHTJESRVWSBCPRHOSLBCNQKIJLBWMVOPTYPIRRIYDGBBHRUWSCQTIGWPWLRLRVGMFAUWOQDRVMUMPERQAMRLWVWLSMZQLRWLWAEINQPSLBRZLVYIVXRMPVQXZYSWRRVXSVBCTUDPXUYMATXIXLBUTUHZAFYIGRMYKNNALVWXDYEMDELHAHTPOBGIFNRZEQWLWQBWDFDAGFSIPCHEJYQWNGKIHUGPSUHHAXABKARAOBNBAJLGCYQKRRDXMLRPEJDWSHQNEYWRGZRIRNWEDF


### Explicación del criptosistema de Vigenere

$$
C(X_i) = (X_i + K_i) \bmod 26
$$
Donde $X$ es el mensaje, $i$ es la posición y $K$ la clave

#### Ejemplo de cifrado:

$X$ = HOLA

$K$ = CLAVE

- Ambos debes quedar del mismo tamaño

$X$ = HOLA

$K$ = CLAV

- Pasamos la letra a su valor en numero

|Letra|Valor|
|---|---|
|H|7|
|O|14|
|L|11|
|A|0|
|C|2|
|L|11|
|A|0|
|V|21|

- Sumamos en módulo 26 y pasamos a letra

|Suma|Letra|
|---|---|
|9|J|
|25|Z|
|11|L|
|21|V|

Texto cifrado: JZLV



#### Funciones útiles

In [3]:
def letra_a_numero(letra):
    return ord(letra.upper()) - ord('A')

def numero_a_letra(numero):
    return chr(numero % 26 + ord('A'))

def cifrar_por_vigenere(mensaje:str, clave:str) -> str:
    # Tamaño de mensaje vs clave
    while len(mensaje) > len(clave):
        clave += clave
    
    while len(mensaje) != len(clave):
        clave = clave[:-1]
    
    # Pasar a letras
    mensaje_list = []
    for a in mensaje:
        mensaje_list.append(letra_a_numero(a))
        
    clave_list = []
    for a in clave:
        clave_list.append(letra_a_numero(a))
        
    # print(mensaje_list)
    # print(clave_list)
    
    #Sumar módulo 26
    cifrado_list = []
    for a in range(len(mensaje_list)):
        cifrado_list.append(
            mensaje_list[a] + clave_list[a]
        )
    
    for a in range(len(cifrado_list)):
        while not cifrado_list[a] < 26:
            cifrado_list[a]-=26
    
    # print(cifrado_list)
    
    # Pasar a texto
    out = ""
    for a in cifrado_list:
        out+=numero_a_letra(a)
        
    return out
    pass


### Ataque visto en clase
Intuición: La clave se repite todo el tiempo, entonces habrá un patrón cada cierto numero de letras si el mensaje tiene pedazos iguales

Se utiliza en indice de coincidencia (probabilidad de que 2 letras elejidas al azar sean iguales)
$$
IC = \frac{\sum_{i=0}^{25} f_i(f_i-1)}{N(N-1)}
$$
Donde $f_i$ es la frecuencia de la letra $i$ y $N$ es el total de letras del texto

- Las posiciones $0, k, 2k, 3k, \dots$ fueron cifradas con la misma letra de la clave.
- Las posiciones $1, k+1, 2k+1, \dots$ también.

Entonces el texto cifrado puede separarse en **$k$ columnas**, donde cada columna fue cifrada con un único desplazamiento (un César).

Se prueba con $k=1,2,3, \dots$ y se calcula el IC de cada columna

- Texto en lenguaje natural (español/inglés): $
  IC \approx 0.065
  $

- Texto completamente aleatorio:
  $
  IC \approx \frac{1}{26} \approx 0.038
  $

#### Como descifrar?
Entonces hacemos esto:

- Por cada columna:
  - Probar los 26 desplazamientos y ver cuál produce texto que parece inglés
  - usar la formula de chi cuadrado para evaluar si la distribución del decifrado se parece al inglés
  - un chi cuadrado pequeño dice que si se parece al inglés
  - un chi cuadrado grande dice que no se parece

$$
chi^2= \sum^{25}_{i=0} \frac{(O_i-E_i)^2}{E_i}
$$

Donde $O_i$ es la frecuencia observada de la letra $i$ en el texto y E_i es la frecuencia esperada de la letra $i$ en en ingles

In [4]:
def ic(lista):
    
    N = len(lista)
    if N <= 1:
        return 0
    
    sumatoria = 0
    for i in range(26):
        f = lista.count(i)
        sumatoria += f*(f-1)
    
    return sumatoria / (N*(N-1))

def columnas(lista: list, j:int):
    # Separa una lista en j columnas
    out = [[] for _ in range(j)]
    # print(out)
    j_ = 0
    for a in lista:
        # print(out)
        out[j_].append(a)
        j_= j_+1 if j_<j-1 else 0
    return out

def chi2(lista, frecuencias_ingles):
    N = len(lista)
    chi = 0
    for i in range(26):
        O_i = lista.count(i)
        E_i = frecuencias_ingles[i] * N
        if E_i > 0:
            chi += ((O_i - E_i) ** 2) / E_i
    return chi

def descifrar_con_cesar(lista, desplazamiento):
    out = ["" for _ in lista]
    for a in range(len(lista)):
        decifrado = (lista[a]-desplazamiento) %26
        out[a] = decifrado
    return out

def descifrar_vigenere(texto, clave):
    texto_lista = [letra_a_numero(a) for a in texto]
    clave_lista = [letra_a_numero(a) for a in clave]
    while len(texto_lista) > len(clave_lista):
        clave_lista += clave_lista
    while len(texto_lista) != len(clave_lista):
        clave_lista.pop()
    
    decifrado = [(texto_lista[i] - clave_lista[i]) %26 for i in range(len(texto_lista))]
    out = ""
    for a in decifrado:
        out += numero_a_letra(a)
    return out


### 1. Encontrar el periodo j de la clave k
Utilizando el ataque visto en clase, utilizando el indice de coincidencia, encuentre el periodo j de la clave secreta k (busque entre 1 y 10).

In [5]:
message
msg_list = [letra_a_numero(a) for a in message]

In [6]:
ics = [0]
for a in range(1, 10):
    cols = columnas(msg_list, a)
    
    # Lista con los ic de las columnas
    ic_s=[ic(b) for b in cols]
    
    #promedio de ic asumiendo un tamaño a
    sum = 0
    for c in ic_s:
        sum+=c
    ics.append(sum/len(ic_s))
    

In [7]:
display(ics)
j = ics.index(max(ics))
print(f"Tamaño clave: {j}")

[0,
 0.04295012462071955,
 0.04679125269856341,
 0.04288484524808626,
 0.05400005877618931,
 0.04140967391741386,
 0.04756502548373314,
 0.041258809148717414,
 0.06846711656719118,
 0.04274350567100225]

Tamaño clave: 8


La posición 8 es la más cercana a 0.065, por lo que lo mas posible es que $j=len(K) = 8$

### 2. Encontrar clave secreta y texto original
Utilizando el ataque visto en clase, encuentre la clave secreta k y el texto orignal (que esta en ingles).

In [8]:
english_freq = {
    'a': 0.08167, 'b': 0.01492, 'c': 0.02782, 'd': 0.04253,
    'e': 0.12702, 'f': 0.02228, 'g': 0.02015, 'h': 0.06094,
    'i': 0.06966, 'j': 0.00153, 'k': 0.00772, 'l': 0.04025,
    'm': 0.02406, 'n': 0.06749, 'o': 0.07507, 'p': 0.01929,
    'q': 0.00095, 'r': 0.05987, 's': 0.06327, 't': 0.09056,
    'u': 0.02758, 'v': 0.00978, 'w': 0.02360, 'x': 0.00150,
    'y': 0.01974, 'z': 0.00074
}
en_list = [a for a in english_freq.values()]

Se separa el mensaje cifrado en $j$ columnas pq la clave es de tamaño $j$

In [9]:
cols = columnas(msg_list, j)

Se hace el desplazamiento para cada letra en cada columna y se guarda el menor $chi^2$. El desplazamiento con el menor $chi^2$ será el más parecido a la frecuencia de letras en el inglés, por lo que será el más probable para la clave

In [10]:
chis2 = []
ks=[]
for a in cols:
    mejor_k = None
    mejor_chi = float("inf")

    for k in range(26):
        lista_descifrada = descifrar_con_cesar(a, k)
        chi = chi2(lista_descifrada, en_list)
        
        if chi < mejor_chi:
            mejor_chi = chi
            mejor_k = k
    chis2.append(mejor_chi)
    ks.append(mejor_k)
print(f"Desplazamientos por columna: {ks}")

Desplazamientos por columna: [20, 13, 8, 0, 13, 3, 4, 18]


In [13]:
k = ""
for a in ks:
    k+=numero_a_letra(a)
"Clave: " + k

'Clave: UNIANDES'

In [30]:
descifrar_vigenere(message, k)

'ONCEUPONATIMETHEREWASASWEETLITTLEGIRLLOVEDBYEVERYONEWHOMETHERBUTMOSTOFALLBYHERGRANDMOTHERTHEOLDWOMANADOREDHERSOMUCHTHATSHEMADEHERASMALLREDVELVETHOODITSUITEDHERPERFECTLYANDFROMTHATDAYONEVERYONECALLEDHERLITTLEREDRIDINGHOODONEMORNINGHERMOTHERSAIDCOMELITTLEREDRIDINGHOODHERESAPIECEOFCAKEANDABOTTLEOFWINETAKETHEMTOYOURGRANDMOTHERSHESSICKANDWEAKANDTHISWILLDOHERGOODGOBEFOREITGETSTOOHOTANDREMEMBERTOWALKCAREFULLYDONTSTRAYFROMTHEPATHORYOUMIGHTFALLANDBREAKTHEBOTTLEANDWHENYOUARRIVEDONTFORGETTOSAYGOODMORNINGBEFOREYOUPEEKAROUNDHERROOMILLBECAREFULMOTHERSAIDLITTLEREDRIDINGHOODANDSHEPROMISEDWITHASMILETHEGRANDMOTHERLIVEDDEEPINTHEFORESTABOUTHALFALEAGUEFROMTHEVILLAGEJUSTASLITTLEREDRIDINGHOODENTEREDTHEWOODSAWOLFAPPEAREDONTHEPATHSHEDIDNTKNOWWHATAWICKEDCREATUREHEWASANDFELTNOFEARATALL'

## Punto 4
## Solución

Sea la regla de padding definida como:

Sea x ∈ {0,1}^v una cadena de longitud v.
Sea s el menor entero positivo tal que:
$$
    v + s es múltiplo de (N − n)
$$
Entonces:
$$
    pad(x) = x || 0^s
$$
donde 0^s representa s ceros agregados al final de x.
## Definición

La regla de padding es libre de colisiones si:
$$
    x ≠ y  ⇒  pad(x) ≠ pad(y)
$$
## Contraejemplo
Tomemos un bloque de tamaño (N − n) = 8 bits.
Sea:

x = 1011        (longitud 4)
Para que la longitud sea múltiplo de 8, necesitamos s = 4.
Entonces:

pad(x) = 10110000
Ahora consideremos:

y = 10110000    (longitud 8)
Como 8 ya es múltiplo de 8, no se agregan ceros:

pad(y) = 10110000
Observamos que:
    x ≠ y
pero
pad(x) = pad(y)


La regla de padding entonces no es libre de colisiones.

El problema ocurre porque el padding únicamente agrega ceros al final del mensaje.

Si un mensaje original ya termina en ceros, no es posible distinguir:

- si esos ceros pertenecían al mensaje original, o  
- si fueron agregados como padding.

Es decir, el padding no codifica información sobre:

- cuánto padding fue agregado
- dónde termina el mensaje original

Por lo tanto, existen mensajes distintos que producen el mismo resultado padded.
Esto hace que la regla de padding descrita no es libre de colisiones.



---
## Punto 5

Sea $\overline{x}$ la cadena de bits obtenida al intercambiar $0 \leftrightarrow 1$ en cada bit de $x$.  
Equivalentemente,

$$
\overline{x} = x \oplus 1^n
$$

donde $1^n$ es la cadena de $n$ bits todos iguales a 1.

Consideremos:

- Las claves $k$ y $\overline{k}$.
- Los textos de 64 bits $m$ y $\overline{m}$.
- $c = e_k(m)$.
- $c' = e_{\overline{k}}(\overline{m})$.

Queremos demostrar que:

$$
c' = \overline{c}
$$



### Estructura del DES

DES es una red de Feistel. En cada ronda $i$ se tiene:

$$
L_i = R_{i-1}
$$

$$
R_i = L_{i-1} \oplus f(R_{i-1}, k_i)
$$

donde $k_i$ es la subclave de la ronda $i$.



### Propiedades que utilizaremos

1. El complemento distribuye sobre XOR:

$$
\overline{a \oplus b} = \overline{a} \oplus \overline{b}
$$

2. Si se complementan simultáneamente la entrada y la subclave, la función $f$ del DES cumple:

$$
f(\overline{R}, \overline{k_i}) = \overline{f(R, k_i)}
$$

3. Por hipótesis del enunciado, si usamos $\overline{k}$ en vez de $k$, entonces la subclave en la ronda $i$ es $\overline{k_i}$.



### Demostración por inducción

Supongamos que en la ronda $i-1$ se cumple:

$$
L'_{i-1} = \overline{L_{i-1}}
\quad \text{y} \quad
R'_{i-1} = \overline{R_{i-1}}
$$

Veamos qué ocurre en la ronda $i$.

#### Primer componente

$$
L'_i = R'_{i-1}
$$

Por hipótesis inductiva:

$$
L'_i = \overline{R_{i-1}}
$$

Pero sabemos que:

$$
L_i = R_{i-1}
$$

Por lo tanto,

$$
L'_i = \overline{L_i}
$$


#### Segundo componente

$$
R'_i = L'_{i-1} \oplus f(R'_{i-1}, \overline{k_i})
$$

Sustituyendo por hipótesis:

$$
R'_i =
\overline{L_{i-1}} \oplus
f(\overline{R_{i-1}}, \overline{k_i})
$$

Usando la propiedad de complementariedad de $f$:

$$
R'_i =
\overline{L_{i-1}} \oplus
\overline{f(R_{i-1}, k_i)}
$$

Aplicando la propiedad del XOR:

$$
R'_i =
\overline{L_{i-1} \oplus f(R_{i-1}, k_i)}
$$

Pero sabemos que:

$$
R_i = L_{i-1} \oplus f(R_{i-1}, k_i)
$$

Entonces:

$$
R'_i = \overline{R_i}
$$



### Resultado tras 16 rondas

Por inducción, en cada ronda se cumple:

$$
L'_i = \overline{L_i}
\quad \text{y} \quad
R'_i = \overline{R_i}
$$

La permutación final del DES solo reordena bits, por lo tanto preserva el complemento.

Concluimos que:

$$
e_{\overline{k}}(\overline{m}) = \overline{e_k(m)}
$$

Es decir,

$$
c' = \overline{c}
$$



###  Conclusión

DES cumple la propiedad de complementariedad:

Si

$$
c = e_k(m)
$$

entonces

$$
e_{\overline{k}}(\overline{m}) = \overline{c}
$$

Esto implica que conocer un par $(m, c)$ permite conocer automáticamente el par $(\overline{m}, \overline{c})$ bajo la clave $\overline{k}$.


---
## Punto 6

**Notación**

Sea $E_k$ un cifrador por bloques con clave secreta $k$.

Para un mensaje  
$x = x_1 \mid x_2 \mid \cdots \mid x_t$

el CBC-MAC se define como:

$$
\begin{aligned}
y_0 &= 0 \\
y_i &= E_k(y_{i-1} \oplus x_i), \quad i=1,\dots,t \\
\text{MAC}(x) &= y_t
\end{aligned}
$$

Además, el mensaje se extiende con un bloque final que contiene la longitud:

$$
x_{t+1} = \text{bin}(t)
$$


**Paso 1 — Consultas al oráculo**

Elegimos bloques arbitrarios $x, y, z$.

Primer mensaje:
$$
M_1 = x :\quad x \mid 1 \rightarrow T_x = \text{MAC}(x)
$$

Segundo mensaje:
$$
M_2 = y :\quad y \mid 1 \rightarrow T_y = \text{MAC}(y)
$$

Tercer mensaje:
$$
M_3 = x \mid 1 \mid z :\quad x \mid 1 \mid z \mid 3 \rightarrow T_{big} = \text{MAC}(x \mid 1 \mid z)
$$



**Paso 2 — Procesamiento del tercer mensaje**

Cuando el sistema procesa:

$$
x \mid 1 \rightarrow T_x
$$

Y cuando procesa:

$$
x \mid 1 \mid z
$$

después de los dos primeros bloques el estado interno es también:

$$
T_x
$$



**Paso 3 — Construcción del cuarto mensaje**

Definimos el nuevo mensaje:

$$
M_4 = y \mid 1 \mid (z \oplus T_x \oplus T_y)
$$

y luego su bloque de longitud correspondiente. Cabe aclarar que este mensaje no ha sido consultado previamente.



**Paso 4 — Cálculo interno**

Cuando el sistema procesa $M_4$:

1. Después de $y \mid 1$, el estado interno es:

$$
T_y
$$

2. Luego procesa el bloque:

$$
z \oplus T_x \oplus T_y
$$

Entonces el nuevo estado es:

$$
T_y \oplus (z \oplus T_x \oplus T_y)
$$

Por propiedades del XOR:

$$
T_y \oplus T_y = 0
$$

Por tanto:

$$
= z \oplus T_x
$$

Este es exactamente el mismo valor interno que tenía el mensaje  
$(x \mid 1 \mid z)$ en ese punto.


**Resultado**

$$
\text{MAC}(M_4) = T_{big}
$$

Ya conocemos $T_{big}$ porque fue obtenido con la MAC del tercer mensaje.

Hemos construido un nuevo mensaje con su MAC válido sin conocer la clave.