
#### Emlékeztető: Ciklikus csoport ####
(multiplikatív csoportra)

Ha van olyan $g\in G$, amely generálja a csoportot, azaz $\{g^k:k\in\mathbb{N}\} = G$, akkor a csoport ciklikus csoport és $g$ egy generátora.

Ha $|G| = n$, akkor ez azzal ekvivalens, hogy $g^n=1$, de minden $0<k<n$ egész számra $g^k\neq 1$.

Egy csoportban értelmezhetjük az elemek rendjét a fentieknek megfelelően (azaz az a legkisebb hatvány, amire emelve az egységelemet kapjuk).

Elem rendje osztja a csoport rendjét.

In [1]:
G.<g> = GF(17, modulus='primitive')
print('Generator: ', g)
print('Order: ', g.multiplicative_order())
a = G.random_element()
a.multiplicative_order()

Generator:  3
Order:  16


4


#### Emlékeztető: Gyorshatványozás ####

In [2]:
def fastpow(a,k):
    if k == 0:
        return 1
    r = a
    for b in bin(k)[3:]:
        r = r*r
        if b == '1':
            r = r*a
    return r
fastpow(3,4)

81


## Discrete Log ##

Egy $G$ csoport esetén a $g\in G$ elem $k$-adik hatványából $g^k=b$ általában nehéz feladat (~BF az összes elemre) meghatározni, mi volt a $k$.

1. Minél nagyobb $g$ rendje annál nehezebb.
1. $k$ nyilvánvalóan kisebb mint a csoport rendje

In [3]:
b = g^6
discrete_log(b,g)

6


#### [Baby step - Giant step](https://en.wikipedia.org/wiki/Baby-step_giant-step) ####


## Diffie-Hellman ##

- Nyilvános: $G, g$
- Alice: titkos $a$, nyilvános: $g^a$
- Bob: tikos $b$, nyilvános: $g^b$

Közös kulcs: $g^{ab}=(g^a)^b=(g^b)^a$

In [4]:
class DHPerson():
    def __init__(self, p,g):
        self.__p = p
        self.__g = g
        self.__rA = randint(1,p-1)
        print("rand: " + str(self.__rA))
    def get_public(self):
        return self.__g^(self.__rA % (p-1)) % self.__p
    def get_key(self, pub_key):
        return power_mod(pub_key, self.__rA, self.__p)
p = next_prime(112352435453412345342451)
G.<g> = GF(p, modulus='primitive')
Alice = DHPerson(p,g)
Bob = DHPerson(p,g)
Alice.get_key(Bob.get_public())
Bob.get_key(Alice.get_public())

rand: 73140755416806957033175
rand: 57183305621590135023229


89904220982312691086608


#### ElGamal ####

- Alice pk: $(x)$, pubk: $(G,g,g^x)$
- Bob enctypts: $(c_1=g^y, c_2=m(g^x)^y)$
- Alice decrypts: $m = c_2c_1^{-x}$


#### Dining Cryptographers ####

Adott $n$ résztvevő egy-egy titkos $s_i\in\mathbb{N}$ titkos értékkel és szeretnék kiszámolni a $S =\displaystyle \sum_{i=1}^{n} s_i$ összeget úgy, hogy a titkos értékeket nem osztják meg egymással.

1. Válasszunk egy $G$ (biztonságos) ciklikus csoportot és hozzá egy $g$ generátort úgy, hogy $|G|>S$.
2. Páronként végezzünk DH kulcscserét: $k_{i,j}$ az $i.$ és a $j.$ résztvevő közös kulcsa.
3. Minden résztvevő kiszámolja a $P_i = s_i + \displaystyle\sum_{j=1}^n \text{sign}(i-j)k_{i,j}$ és megosztja a többiekkel.
4. Kiszámoljuk a $\displaystyle \sum_{i=1}^n P_i = \sum_{i=1}^n\sum_{j=1}^n \text{sign}(i-j)k_{i,j} + \sum_{i=1}^n s_i = 0 + S$.

Pl.:
1. G = $\mathbb{Z}_/_1_3$, g = 2

In [5]:
GF(13)
G.<g> = GF(13, modulus='primitive'); G
g.multiplicative_order()

12


## Feladatok ##

1. (1p) Keressünk egy tetszőleges csoportban olyan elemeket, amelyek multiplikatív rendje 1, 5, 9, 32.
7. Írjunk programot a diszkrét log számolására $\mathbb{Z}_p$ esetén (paraméter: $p,b,g$) és hasonlítsuk össze a futási időt a `discrete_log` utasítás futási idejével különböző nagyságrendű $p$-k esetén!
9. Mutassuk be, hogyan működik egy MitM támadás a fent alkotott osztályok segítségével.
9. (2p) Alkossunk asszimetrikus titkosítást a DH kulcscsere alapján [ElGamal](https://en.wikipedia.org/wiki/ElGamal_encryption).
1. (3p) Valósítsuk meg azt az eljárást, amely segíthet, ha nem szeretnénk, ha a többiek tudnák mennyi borravalót adtunk: (Étkező kriptográfusok)
1. (3p) Valósítsuk meg a [szociális milliomos](https://en.wikipedia.org/wiki/Socialist_millionaire_problem) probléma megoldását DH alapján.

In [409]:
# 1. feladat: Keressünk egy tetszőleges csoportban olyan elemeket, amelyek multiplikatív rendje 1, 5, 9, 32.

G.<g> = GF(31, modulus='primitive')
print('Generator: ', g)
a = G.random_element(); print(a)
print(a.multiplicative_order())
print("")
[print((e, e.multiplicative_order())) for e in G if e != 0]
print("")
print('Order: ', g.multiplicative_order())
print("Element: 1")
print("Order: ", GF(37)(1).multiplicative_order())
print("Element: 5")
print("Order: ", GF(37)(36).multiplicative_order())
print("Element: 9")
print("Order: ", GF(37)(9).multiplicative_order())
print("Element: 32")
print("Order: ", GF(37)(1).multiplicative_order())

n = 5*9*32; n


Generator:  3
9
15

(1, 1)
(2, 5)
(3, 30)
(4, 5)
(5, 3)
(6, 6)
(7, 15)
(8, 5)
(9, 15)
(10, 15)
(11, 30)
(12, 30)
(13, 30)
(14, 15)
(15, 10)
(16, 5)
(17, 30)
(18, 15)
(19, 15)
(20, 15)
(21, 30)
(22, 30)
(23, 10)
(24, 30)
(25, 3)
(26, 6)
(27, 10)
(28, 15)
(29, 10)
(30, 2)

Order:  30
Element: 1
Order:  1
Element: 5
Order:  2
Element: 9
Order:  9
Element: 32
Order:  1


1440