# Examen SPSI 2021 - 2022

**Autores**: 

- Ana Buendía Ruiz-Azuaga
- Andrés Millán Muñoz
- Paula Villanueva Núñez
- Juan Antonio Villegas Recio

## 📋 Ejercicio 1

> **A lo largo del curso hemos tenido ocasión de comprobar la importancia de los coeficientes de Bezout, calculados mediante el algoritmo de Euclides extendido. Nosotros hemos implementado dicho algoritmo para el caso de números enteros en la formulación binaria pero por desgracia este algoritmo, en su pureza, ofrece unos coeficientes de Bezout muy elevados en valor absoluto y esto puede ser un inconveniente al quererlos usar como exponente de una potencia. Implemente en (riguroso código) Python una función que haga que esos coeficientes de Bezout ofrecidos por su algoritmo binario tengan el valor “pequeño” que daría el código clásico que acompañamos a esta prueba (ficheroAlgoritmoExtEuclides.ipynb). La implementación debe entregarla incluida en un cuaderno de Jupyter, o sea, en formato.ipynb**

Se desactiva el parser para que se ejecute igual que en python.

La función `bxeuc` es la misma función que se entregó en la tarea durante el curso.

In [None]:
preparser(False)

In [None]:
# not(m & 1) = ~m&1 -> Comprueba si el número es par. Devuelve true si es par

# Se ha usado el mismo código que en la tarea


def bxeuc(m,n):
    '''
    Algoritmo extendido de euclides.
    Parametros: m,n dos enteros
    Devuelve: mcd y los coeficientes de Bezout
    '''
    shift = 0
    
    if m == 0:
        return n, 0, 1
    if n == 0:
        return m, 1, 0
    
    # Gestionamos numeros negativos
    signo_m = 1
    signo_n = 1
    
    if m < 0:
        m = -m
        signo_m = -1
    if n < 0:
        n = -n
        signo_n = -1
    
    
    while ~m&1 and ~n&1:
        m >>= 1
        n >>= 1
        
        shift += 1 
        
    # m0 y n0 son m y n quitando el factor comun 2, por ejemplo 4,2 pasa a 2,1
    m0 = m
    n0 = n
    
    sm = 1
    sn = 0
    
    tm = 0
    tn = 1
    
    # Se mantienen invariantes m = sm*m+sn*n, n=tm*m+tn*n
    
    
    while ~m&1: # Si m es par
        if not (~sm&1 and ~sn&1 ): # Si sm o sn alguno no es par
            # garantizamos que sm y sn sean pares
            sm = sm - n0
            sn = sn + m0
            
        # Quitamos el factor comun 2 de m, sm y sn, luego la identidad m = sm*m+sn*n se mantiene
        m >>= 1
        sm >>= 1
        sn >>= 1
    
    while n != 0:
        while ~n&1: # SI n par
            if not (~tm&1 and ~tn&1): # Si tm o tn alguno no es par
                # Aseguramos que tm y tn son pares
                tm = tm - n0
                tn = tn + m0
                
            # Eliminamos el factor comun 2 de n, tm y tn, luego la identidad n=tm*m+tn*n se mantiene
            n >>= 1
            tm >>= 1
            tn >>= 1
        
        # Si m>n intercambiamos las variables
        if m > n: 
            m, n, sm, tm, sn, tn = n, m, tm, sm, tn, sn
            
        
        # Vamos quitando tantas veces m a n
        n = n - m
        tm = tm - sm
        tn = tn - sn
        
    g = m << shift
    u = signo_m*sm
    v = signo_n*sn

    return g, u, v

Para obtener los coeficientes de Bezout se usa la función `bxeuc` y para minimizar su valor absoluto usaremos módulos basándonos en:

Sean $(u,v)$ y $(u',v')$ dos soluciones distintas a de la identidad $mu+nv=g$. Entonces restando tenemos que $$m(u-u')+n(v-v')=0$$

Por tanto, $$m(u-u')=n(v'-v)$$

Ahora consideramos $m'=m/g$ y $n'=n/g$, que son coprimos. Reescribimos la expresión obtenida anteriormente como:
$$m'g(u-u')=n'g(v'-v)$$

Luego $m'|(v'-v)$ y $n'|(u-u')$, o equivalentemente $u'=u-n'k$ y $v'=v+m'k$ para algún $k$ entero.

Entonces $u'\equiv u \mod n'$ y $v'\equiv v \mod m'$.

In [None]:
def bxeuc_min_coefs(m,n):  
    g, u, v = bxeuc(m, n)

    
    if (u == 1 and v == 0) or (u == 0 and v == 1):
        return g,u, v
    
    a, b = m/g, n/g

    u, v = u % b, v % a
    
    if abs(u-b) < abs(u):
        u = u-b
    
    if abs(v-a) < abs(v):
        v = v-a
    
    return g, u, v

In [None]:
m = 1426668559730
n = 810653094756

g, u, v = bxeuc_min_coefs(m, n)

print("Máximo común divisor obtenido por el algoritmo: {}".format(g))
print("Resultado de la identidad usando los coeficientes {}".format(int(u)*m+int(v)*n))
print("Coeficientes: {}, {}".format(u,v))

print(g == int(u)*m+int(v)*n)

In [None]:
lsign = lambda x: x and (1,-1)[x<0]

def xeuclid(a,b):
    m, n = int(a), int(b)
    u0, u1 = 1, 0
    v0, v1 = 0, 1
    
    while n:
        q = m // n
        m, n = n, m % n
        u0, u1 = u1, u0 - q * u1
        v0, v1 = v1, v0 - q * v1
    sg = lsign(m)

    return m * sg, u0 * sg, v0 * sg

In [None]:
# Comprobación de que nos dan los coeficientes originales:

def verificar(m, n):
    g, u, v = bxeuc_min_coefs(m, n)
    g2, u2, v2 = xeuclid(m, n)
    

    return g == int(u)*m+int(v)*n and u == u2 and v == v2

In [None]:
verificar(m,   n) and \
verificar(n,   m) and \
verificar(-m,  n) and \
verificar(m,  -n) and \
verificar(-m, -n) and \
verificar(-n, -m)

In [None]:
preparser(True)

https://math.stackexchange.com/questions/1724468/bezout-coefficients-produced-by-extended-euclidean-algorithm-for-a-and-b
https://math.stackexchange.com/questions/237372/finding-positive-b%C3%A9zout-coefficients

## 📋 Ejercicio 2

## Apartado a

> **Implemente razonadamente una función, digamos sbox(x,y), que dado un byte xy sea capaz de aportar la entrada correspondiente a la fila x y la columna y en la tabla de la Figura 4.9 de los apuntes (pag. 91).**

A continuación se define el cuerpo $R = \mathbb{Z}_2 [x] / (x^8 + x^4 + x^3 + x + 1)\cong GF(2^8)$, como indican las especificaciones del algoritmo.

In [None]:
R = PolynomialRing(GF(2), 'x').quotient('x^8 + x^4 + x^3 + x + 1', 'x')
R

### Transformaciones entre las distintas formas de representar un byte

In [None]:
# Binario a hexadecimal
def bin_to_hex(binary):
    '''
    Argumentos:
        - binary: Cadena binaria de longitud 8 que representa un byte en binario
    Salidas:
        - Cadena en hexadecimal de longitud 2 que representa un byte en hexadecimal
    '''
    return hex(int(binary,2))[2:].zfill(2)

# Hexadecimal a binario
def hex_to_bin(hexadecimal):
    '''
    Argumentos:
        - hexadecimal: Cadena hexadecimal de longitud 2 que representa un byte en hexadecimal
    Salidas:
        - Cadena en binario de longitud 8 que representa un byte en binario
    '''
    return bin(int(hexadecimal, 16))[2:].zfill(8)

# Polinomio correspondiente a un binario
def bin_to_pol(binary):
    '''
    Argumentos:
        - binary: Cadena binaria de longitud 8 que representa un byte en binario
    Salidas:
        - Polinomio de GF(2^8) que representa el byte.
    '''
    binary_list_int = [int(c) for c in binary[::-1]]
    return R(binary_list_int)

# Binario correspondiente a un polinomio
def pol_to_bin(pol):
    '''
    Argumentos:
        - pol: Polinomio de GF(2^8) que representa el byte.
    Salidas:
        - Cadena en binario de longitud 8 que representa un byte en binario
    '''
    return ''.join([str(c) for c in pol.list()[::-1]])

# Hexadecimal correspondiente a un polinomio
def pol_to_hex(pol):
    '''
    Argumentos:
        - pol: Polinomio de GF(2^8) que representa el byte.
    Salidas:
        - Cadena en hexadecimal de longitud 2 que representa un byte en hexadecimal
    '''
    return bin_to_hex(pol_to_bin(pol))

# Polinomio correspondiente a un hexadecimal
def hex_to_pol(hexadecimal):
    '''
    Argumentos:
        - hexadecimal: Cadena hexadecimal de longitud 2 que representa un byte en hexadecimal
    Salidas:
        - Polinomio de GF(2^8) que representa el byte.
    '''
    return bin_to_pol(hex_to_bin(hexadecimal))

Definimos la siguiente matriz que se usa en la transformación afín en el cálculo de la S-Box.

In [None]:
M = matrix(Integers(2),8,[
        1,0,0,0,1,1,1,1,
        1,1,0,0,0,1,1,1,
        1,1,1,0,0,0,1,1,
        1,1,1,1,0,0,0,1,
        1,1,1,1,1,0,0,0,
        0,1,1,1,1,1,0,0,
        0,0,1,1,1,1,1,0,
        0,0,0,1,1,1,1,1,
    ])
M

Calculamos la inversa de dicha matriz, necesaria para calcular la transformación afín inversa.

In [None]:
# Inversa de la matriz M
M_inv = M**(-1)
M_inv

De esta forma, podemos definir siguiente función, `sbox(x,y)`, que dado un byte `xy` sea capaz de aportar la entrada correspondiente a la fila `x` y la columna `y` en la tabla de la Figura 4.9 de los apuntes.

Para ello, se ha calculado la inversa de la transformación afín (4.3) seguida de la toma del inverso multiplicativo en $GF(2^8)$.

In [None]:
def sbox(x,y):
    xy = x + y
    byte_bin = hex_to_bin(xy) # Polinomio correspondiente de xy
    c = vector(Integers(2), [1,1,0,0,0,1,1,0]) # Coeficientes del byte {63}
    b = vector(Integers(2), [int(c) for c in byte_bin[::-1]]) # Vector que representa al byte de entrada

    res_transf = M_inv*(b-c) # Inversa de la transformacion afin
    
    # Inverso en GF(2^8)
    if (res_transf == 0):
        res = '00'
    else:
        res_transf_pol = bin_to_pol(''.join([str(c) for c in res_transf[::-1]]))
        res_pol = R(res_transf_pol**(-1))
        res = pol_to_hex(res_pol)
        
    return res

x = '5'
y = '3'
sbox(x,y)

Luego la posición 53 en la tabla 4.9 viene ocupada por `50`.

## Apartado b

> **Utilice el código de la pregunta anterior para construir una matriz que corresponda exactamente con el contenido de la tabla de la Figura 4.9. (Entregue el ejercicio en al menos un fichero .ipynb)**

### Matriz de `S-Box inversa`

Obtenemos la matriz que corresponde a S-box inversa, que contiene los valores de sustitución para el byte `xy` (en formato hexadecimal).

In [None]:
hex_digits = [hex(i)[2:] for i in range(16)]
s_box = []

for x in hex_digits:
    row = []
    
    for y in hex_digits:
        row.append(sbox(x,y)) # Calcular la entrada en S-box inversa del byte xy
    
    s_box.append(row)

# Imprimir por pantalla la matriz S-Box inversa    
for row in s_box:
    print(row)

## 📋 Ejercicio 3

> **Diseñe razonadamente el entorno de un ejemplo realista para el intercambio de una clave según el sistema de Diffie-Hellman y proceda al intercambio de una de ellas. Para llevar a cabo este ejemplo puede usar sagemath y openssl, pero el ejemplo que construya debe ser distinto en los datos a cualquiera que figure en los apuntes (p.e. Ejemplo 5.5.3 de la pág. 122).**

En una conexión SSH se establecen dos etapas: La primera es acordar una clave de cifrado para proteger la comunicación futura y la segunda es autenticar al usuario y comprobar si se le debe dar acceso al servidor. El esquema Diffie-Hellman es utilizado en la primera de las fases, donde ambas partes negocian una clave de sesión compartida, pero secreta. Al utilizar Diffie-Hellman, cada parte puede combinar sus propios datos privados con datos públicos del otro sistema para así llegar a dicha clave compartida. 

Esta clave de sesión se utiliza para cifrar toda la sesión. No combiene confundir las claves privadas utilizadas en este paso con las claves SSH utilizadas para autenticar un cliente en el servidor, ya que son conceptos distintos y están completamente separados.

El procedimiento seguido es el siguiente. Por simplicidad llamaremos $A$ y $B$ a las dos partes.

Utilizamos `openssl` para generar un primo seguro suficientemente grande, por ejemplo, de 64 bits:

```bash
$ openssl prime -generate -safe -bits 64
17885555072688303479
```

A partir de este número primo que llamaremos $n$, elegimos $g$, otro número primo que es además un elemento primitivo de $GF(n)$:

In [None]:
n = 17885555072688303479
g = GF(n).primitive_element()

Al ser $g$ un elemento primitivo de $GF(n)$, tenemos asegurado que $1<g<n$. La pareja $(n,g)$ no tiene por qué ser secreta, de hecho puede ser compartida por más usuarios.

In [None]:
print(f"(n,g) = {(n,g)}")

### A elige su clave secreta y calcula X
A continuación A elige aleatoriamente un número elevado $x$ y calcula el número $X=g^x \mod n$, el cual será enviado a B.

In [None]:
# A

x = randint(0,2**20)
X = g**x % n

print(f"La clave secreta de A es x = {x}")
print(f"A le enviará a B el número X = {X}")

### B elige su clave secreta y calcula Y
Del mismo modo, B elige aleatoriamente un número elevado $y$ y calcula el número $Y=g^y \mod n$, el cual será enviado a A.

In [None]:
# B

y = randint(0,2**20)
Y = g**y % n

print(f"La clave secreta de B es y = {y}")
print(f"B le enviará a A el número Y = {Y}")

### Intercambio
A y B se intercambian $X$ e $Y$, manteniendo secretos los exponentes $x$ e $y$. A recibe $Y$ y calcula $k_1$:

In [None]:
# A

k1 = Y**x % n

print(f"Clave calculada por A: {k1}")

B recibe $X$ y calcula $k_2$

In [None]:
# B

k2 = X**y % n

print("Clave calculada por B: {k2}")

Comprobamos que en efecto $k_1$ y $k_2$ coinciden, siendo calculadas independientemente y sin revelar las claves secretas $x$ e $y$. Este número $k_1=k_2$ es la clave secreta compartida entre A y B, que estas utilizarán posteriormente para cifrar la comunicación en SSH.

In [None]:
k1 == k2

Este proceso permite a cada parte participar igualmente en la generación del secreto compartido, lo que no permite que un extremo controle el secreto. También cumple la tarea de generar un secreto compartido idéntico sin tener que enviar esa información a través de canales inseguros. La clave generada es simétrica, lo que significa que la misma clave utilizada para cifrar un mensaje se puede utilizar para descifrarlo en el otro lado. El propósito de esto es envolver toda la comunicación adicional en un túnel encriptado que no pueda ser descifrado por personas externas.

## 📋 Ejercicio 4

> **Escenifique compartir el secreto de valor 113132 entre 50 partícipes, requiriéndose el acuerdo de 42 de ellos para explicitar dicho secreto. Use en este ejercicio el esquema de Shamir de intercambio de secretos, pudiendo el alumno servirse de Sagemath implementando su propio software**

Como se nos pide, vamos a ejemplificar el esquema de Shamir. 

Para empezar, escribamos nuestras hipótesis, usando la nomenclatura de la teoría:

In [None]:
# Secreto
s = 113132 

# Número de participantes
n = 50

# Umbral de participantes para recuperar el secreto
t = 42

Para operar, debemos realizar los siguientes pasos:

1. Se elige un número primo $p$ tal que $p > máx\{n, s\}$
2. Se eligen $t - 1$ elementos de $Z_p$, $a_1, \dotsc, a_{t-1}$ de forma que $a_{t-1} \ne 0$
3. Consideramos el polinomio $p(x) = s + a_1x + \dotsc + a_{t-1}x^{t-1}$.
4. Son escogidos $x_1, \dotsc, x_n \in Z_p^*$, y se calcula para todo $1 \le i \le n$ el valor $y_i = p(x_i)$
5. El partícipe $i, 1 \le i \le n$, recibe la parte del secreto $<x_i, y_i>$ y la mantendrá como par secreto

Sin más dilación, vamos a ello:

In [None]:
# ──────────────────────────────────────────────────────────────────────── 1 ─────

p = random_prime(2**64)

while p <= max(n, s):
    p = random_prime(2**64)

print(f'El primo generado es p = {p}. \n\t -> ¿Es mayor que {n} y {s}? {p > max(n, s)}\n')


# Definimos los anillos necesarios para operar
Zp = GF(p)
K.<x> = PolynomialRing(Zp)



# ──────────────────────────────────────────────────────────────────────── 2 ─────

A = [Zp.random_element() for i in range(0, t-1)]
print(f'Para A, hemos escogido {len(A)} = t-1 = {t-1} elementos de Zp\n')


# Nos aseguramos que A[t-2] = a_{t-1} != 0
while (A[t-2] == 0):
    A[t-2] = Zp.random_element()
    
print(f'Se tiene además que A[t-2] = a_(t-1) = {A[-1]} != 0\n')



# ──────────────────────────────────────────────────────────────────────── 3 ─────

p = K(A)*x + s
print(f'Escogemos el polinomio \n{p}\n\n')



# ──────────────────────────────────────────────────────────────────────── 4 ─────

X = [Zp.random_element() for i in range(0, n)]

# Limpiamos los posibles 0 de X
while True:
    try:
        i = X.index(0)
        X[i] = Zp.random_element()
    except ValueError:
        # Si no hay 0s, paramos
        break
    
Y = [p(x) for x in X]



# ──────────────────────────────────────────────────────────────────────── 5 ─────

pares_secretos = [ (x,y) for x, y in zip(X,Y) ]

print(f'Hemos obtenido {len(pares_secretos)} pares secretos')

Mostremos ahora la recuperación del secreto, escogemos $t$ participantes al azar:

In [None]:
import random 
random.shuffle(pares_secretos)

estan_de_acuerdo = pares_secretos[:t]

print(f'Estos son los pares de las {t} personas que están de acuerdo:')

estan_de_acuerdo

Y ahora, estas personas que están de acuerdo, llevan a cabo la interpolación de Lagrange. Podría usarse el de Newton, pero teniendo en cuenta que el de Lagrange se ejecuta lo suficientemente rápido, lo escogeremos para esta prueba. Sage proporciona una manera rápida de obtenerlo que nos resulta ventajosa.

De esta forma, se descubre el secreto:

In [None]:
q = K.lagrange_polynomial(estan_de_acuerdo)
q(0)

¿Qué ocurriría si no se llegara a la cantidad de personas requerida? 

In [None]:
random.shuffle(pares_secretos)

frustrados = pares_secretos[:randint(1, t-1)]
r = K.lagrange_polynomial(frustrados)
r(0)

No son capaces de conseguir el secreto.