# Kryptografia postkwantowa oparta na kratach

**Komputer kwantowy** – komputer, do opisu którego wymagana jest mechanika kwantowa, 
zaprojektowany tak, aby wynik ewolucji tego układu reprezentował rozwiązanie określonego
problemu obliczeniowego. Odpowiednie zaplanowanie ewolucji układu kwantowego, czyli 
stworzenie odpowiedniego algorytmu kwantowego pozwala teoretycznie na osiągnięcie wyników 
w znacznie efektywniejszy sposób niż za pomocą tradycyjnych komputerów. Ta właśnie większa 
efektywność stanowi poważne zagrożenie dla obecnych systemów kryptograficznych, 
które algorytmy kwantowe będą w stanie złamać w „rozsądnym” czasie, więc w momencie 
uzyskania odpowiednio wydajnego komputera kwantowego można będzie zapomnieć o jakimkolwiek 
bezpieczeństwie zapewnianym przez klasyczne systemy kryptograficzne, gdyż te nie będą
w stanie takiego bezpieczeństwa zapewnić, a złamanie ich będzie kwestią chwili. 
Z tego też powodu należy się zabezpieczyć przed taką sytuacją - tworząc systemy kryptograficzne,
które będą stanowiły poważne wyzwanie dla komputerów kwantowych. 
Jednym z rozwiązań, mające zapewnić bezpieczeństwo, nawet  w obliczu ataku kwantowego 
jest kryptografia oparta na kratach. 

**Kraty (ang. lattice)** – struktury matematyczne, które można opisywać algebraicznie, albo w sensie częściowych porządków. 

Krata w sensie algebraicznym to struktura algebraiczna $(A,∧,∨)$, gdzie $A$ jest (niepustym) zbiorem, a $∧$ i $∨$ są odwzorowaniami
z $A$ X $A$ w $A$ spełniającymi dla dowolnych $x,y,z ∈A$ następujące warunki:

$\qquad \qquad \qquad \qquad \qquad \qquad 1.\,X∧X\,=\,X \qquad \qquad \qquad \qquad X∨X\,=\,X$

$\qquad \qquad \qquad \qquad \qquad \qquad 2.(X∧Y)∧Z\,=\,X∧(Y∧Z) \qquad (X∨Y)∨Z\,=\,X∨(Y∨Z) $

$\qquad \qquad \qquad \qquad \qquad \qquad 3.X∧Y=Y∧X \qquad \qquad \qquad \quad X ∨Y=Y∨X$

$\qquad \qquad \qquad \qquad \qquad \qquad 4.(X∧Y)∨Y=Y \qquad \qquad \qquad \,\,\, (X∨Y)∧Y=Y$

**Przykłady**

Kratami są wszystkie zbiory uporządkowane liniowo oraz relacją inkluzji na każdym zbiorze potęgowym.
 - Przykładem kraty jest dowolna algebra Boole’a.
 - „Pięciokąt” lub krata $N_5$ to krata pięciu elementów $a,b,c,d,e,$ spełniających relacje:
    - $ c≤x≤a $ dla każdego $x$
    - $ d∧b=e∧b=c $
    - $ d∨b=e∨b=a $
 - „Diament” lub krata $M_3$ to krata pięciu elementów $a,b,c,d,e,$ spełniających relacje:
    - $ c≤x≤a $ dla każdego $x$
    - $ x∧y=c $ dla każdych x≠y w zbiorze {$b,d,e$}
    - $ x∨y=a $ dla każdych x≠y w zbiorze {$b,d,e$} 

![ZDJ2.png](attachment:ZDJ2.png)

## Problemy trudno obliczeniowe dla krat
### Wstęp
Wybierzmy na początek dowolną pozycję, będziemy pracować w 2 wymiarach, więc potrzebujemy tylko 2 wektorów, aby zdefiniować resztę sieci. Będziemy tworzyć kratę kwadratową, więc wektory są ustawione względem siebie pod kątem prostym. Zaczynając od początkowego punktu kraty, możemy narysować wektory, aby zdefiniować położenie dwóch nowych punktów. 
![File1-3.png](attachment:File1-3.png)
I możemy w zasadzie kontynuować tą procedurę w nieskończoność. Każdy nowy punkt w sieci można skonstruować jako mnożenie tych prostych wektorów przez liczby całkowite, więc bardziej ogólnie możemy powiedzieć, że krata jest zbiorem kombinacji liczb całkowitych i liniowo niezależnych wektorów.
To prosta koncepcja, kryje skomplikowany problem - najkrótszy problem wektorowy.

![File2.png](attachment:File2.png)

### Problem najkrótszego wektora
Kiedy stworzyliśmy już kratę, wybraliśmy dwa bardzo proste wektory jako podstawę do skonstruowania naszej sieci. Zgodnie z twierdzeniem Pitagorasa, możesz zauważyć, że te dwa były najkrótszymi wektorami, z których można zbudować kratkę kwadratową. Jednak każda krata (poza jednowymiarową) ma nieskończoną liczbę możliwych podstaw. Weźmy kratę, na którą patrzyliśmy wcześniej:

![File3.png](attachment:File3.png)
<center> Najkrótsze wektory w sieci - niebieskie, dwa dłuższe wektory - fioletowy. </center>

Możemy użyć dowolnej pary wektorów jako „podstawy” do skonstruowania kraty za pomocą tej samej metody, którą opisaliśmy powyżej. Zarówno fioletowe wektory jak i niebieskie są podstawą do budowania sieci, ale to niebieskie (jako najkrótsze wektory) są najłatwiejsze do pracy z kratą.
Jeśli pomnożymy wektory dłuższej bazy przez liczby całkowite, wylądują one również w nowych punktach sieci. Możemy zatem użyć dowolnej pary wektorów do utworzenia sieci, o ile każdy wektor kończy się w nowym punkcie sieci. Podobnie dla trójwymiarowej sieci kwadratowej:

![File4.gif](attachment:File4.gif)

Zasadniczo możemy zrekonstruować całą kratę z dowolnie podanej bazy i znaleźć najkrótsze wektory. W praktyce, w zależności od wyboru siatki i wektorów bazowych, problem ten może być łatwy lub prawie całkowicie niewykonywalny.

Jeśli wszystkie wektory w bazie są bardzo długie, znalezienie najkrótszych wektorów wymaga ciągłego wybierania kombinacji bardzo długich wektorów, aby spróbować zrekonstruować kratę. Jest to dość proste w przypadku sieci dwuwymiarowej, ale jeśli zwiększymy wymiar sieci, stanie się to trudne.
Powodem tego jest fakt, że liczba możliwych kombinacji, które musimy wypróbować, rośnie wykładniczo wraz z liczbą wymiarów. Jeśli powiemy, że $a$ jest typową długością wektora względem rozstawu punktów kraty, a $d$ jest wymiarem sieci, to liczba możliwych kombinacji, które musimy wypróbować, jest rzędu $(2a)^d$ .

Dla długich baz pokazanych w dwuwymiarowym przykładzie powyżej, $a$ wynosi „około 4” i $d = 2$, co z $(2a)^d$ oznacza, że musimy wypróbować około 64 kombinacji.

Jeśli zwiększymy $a$ do 100 i użyjemy sieci 50-wymiarowej, $(2a)^d > 10^{100}$ (więcej niż szacunkowa liczba atomów w obserwowalnym wszechświecie)

Istnieją techniki (algorytm Lenstry-Lenstry-Lovasza), których można użyć do znalezienia krótkich wektorów na siatkach bez próbowania wszystkich możliwych kombinacji. Jednak nadal złożoność i rozmiar problemu rośnie gwałtownie wraz z liczbą wymiarów, tak że nawet najbardziej znane algorytmy działające na najszybszych superkomputerach nie mogą znaleźć najkrótszych wektorów w wielowymiarowych sieciach w akceptowalnym przedziale czasowym.

**Nie ma znanego algorytmu kwantowego do rozwiązywania tego rodzaju problemu z kratą.**

### Problem najbliższego wektora 
Problemem najbliższego wektora jest inną kategorią problemów obliczeniowych w kratach. W tym zadaniu otrzymujemy parę długich wektorów bazowych, a następnie poproszono o znalezienie wektora znajdującego się najbliżej innego wektora, który nie jest częścią sieci.
![File5.png](attachment:File5.png)

<center> Dwa wektory bazowe - fioletowe, wektor który nie jest częścią kraty - zielony. </center>

Najbliższy punkt kraty do tego wektora, jest również zielony. Wygląda to na nie zbyt skomplikowane, kiedy wszystkie punkty są widoczne oraz jeśli krata ma zbiór baz, który jest ortogonalny. Jednak wiele krat nie ma ortogonalnej podstawy, a jeśli odbierzemy punkty trudniej jest znaleźć właściwe rozwiązanie, a dużo trudniej, jeśli zwiększymy wymiary kraty.
![File6.png](attachment:File6.png)

Najbliższy problem wektorowy ma również przybliżoną wersję, którą można wykorzystać do budowy kryptosystemów.

## Istniejące implementacje kryptograficzne oparte na kratach:
**McEliece cryptosystem (1979)**
 - Algorytm probabilistyczny, wykorzystujący losowość w procesie szyfrowania
 - Odporny na Algorytm Shora, oraz na ataki wykorzystujące Fourierowskie próbkowanie kwantowe
 - Szybszy niż RSA
 - Nie można wykorzystać go do podpisów cyfrowych
 - Poprawne szyfrowanie nie gwarantuje odszyfrowania
 
**Goldreich-Goldwasser-Halevi (1996)**
 - Szyfrowanie, podpisy cyfrowe
 - System asymetryczny, używa jako funkcji zapadkowej redukcji krat (problem najkrótszego wektora)
 - Wykorzystuje perturbacje do utrudnienia (w praktyce uniemożliwienia) odzyskania kluczy przy analizie wielu tekstów zaszyfrowanych tym samym kluczem
 - W 1999 została określona metoda pozwalająca na złamanie tego systemu przy użyciu analizy Chosen Plaintext

**Lenstra-Lenstra-Lovasz (2001)**
 - Oparty na problemie redukcji macierzy ortogonalnych lub prawie ortogonalnych
 - Algorytm znajduje przybliżone rozwiązania, możliwość iteracyjnego przybliżania aż do uzyskania rozwiązania
 - Duże wymagania pamięciowe i obliczeniowe
 - Problem przeniesiony na kraty modulo
 - Posłużył do stworzenia NTRU
 
**NTRUEncrypt/NTRUSign (2005)**
 - Oparty na problemie faktoryzacji wielomianów w pierścieniu ilorazowym
 - Problem ściśle powiązany ze znajdywaniem **najkrótszego wektora** w kratach modulo
 - Dotychczas nie została zaproponowana żadna metoda jego złamania
 - Istnieje zależność między jego złożonością pamięciową i czasową
 
**RLWE (2012)**
 - Szyfrowanie homomorficzne
 - Wymaga użycia krat doskonałych
 - Mały rozmiar kluczy, a trudność złamania porównywalna z pozostałymi systemami
 - Zawiera w sobie problem znajdywania najbliższego wektora, możliwe że istnieje całkowita redukcja do tego problemu

## Algorytm NTRU

Jest to asymetryczny kryptosystem z kluczem publicznym i prywatnym. 
Ma dwie cechy dające mu przewagę nad algorytmem RSA i ECC 
(dla których może stanowić rozwiązanie alternatywne): szybkość i odporność na 
obliczenia kwantowe. Istnieją dwa algorytmy NTRU: NTRUEncrypt i NTRUSign. 
Dostępna jest otwarta implementacja NTRU. Ponieważ algorytm NTRU bazuje na 
odmiennych metodach (kryptografii opartej na kratach) niż RSA i ECC, ma on inne 
właściwości kryptograficzne. Dla porównywalnej siły kryptograficznej, NTRU wykonuje 
znacznie szybciej niż RSA kosztowne operacje klucza prywatnego. Ponadto porównawcza 
wydajność NTRU rośnie wraz z poziomem wymaganego bezpieczeństwa. Gdy rozmiary kluczy 
wzrastają n razy, liczba operacji RSA na sekundę spada n³, podczas gdy spadek NTRU jest rzędu n².

W odróżnieniu od RSA lub ECC, nie jest obecnie znana podatność NTRU na ataki 
z wykorzystaniem komputera kwantowego. Komputer kwantowy za pomocą algorytmu 
Shora byłby w stanie w rozsądnym czasie złamać RSA lub ECC jakiegokolwiek praktycznego
rozmiaru klucza. Dla kontrastu, nie jest znany obecnie kwantowy atak na NTRU, który 
znacząco redukowałby jego bezpieczeństwo.

## Opis algorytmu NTRU

Arytmetyka NTRU zależy od 3 parametrów całkowitych $(N,p,q)$. Operacje algorytmu NTRU są wykonywane w pierścieniu wielomianów o stopniu co najwyżej $N-1$. Wielomian $f$ ma bazę {$ 1,X,X^2,…,X^{N-1} $ } , czyli:
$ f=(f_0,f_1,…,f_{N-1})=f_0+f_1 X+⋯+ f_{N-1} X^{N-1} $
Niech $B(d)$ będzie zbiorem wielomianów zdefiniowanych dla $d$, takich że wielomiany tego zbioru mają $d$ współczynników równych 1, a reszta równa jest 0.
Pomiędzy 1996 a 2005 istniały różne propozycje zestawu parametrów, jednak wersja z 2005 przewiduje sześć publicznych parametrów  $(N,p,q,d_f,d_g,d_r)$ całkowitych i cztery publiczne przestrzenie wektorowe $(L_f,L_g,L_m,L_r)$
 - $N$ jest liczbą pierwszą (dosyć dużą, aby zapobiec atakom)
 - $p$ i $q$ to liczby względnie pierwsze
 - $p$ jest dużo mniejsze od $q$
 - $L_f=B(d_f)$ jest zbiorem  wielomianów, z których wybierany jest klucz prywatny
 - $L_g=B(d_g)$ jest zbiorem  wielomianów, z których wybieramy inne klucze prywatne
 - $L_m$ – przestrzeń tekstu jawnego. Zbiór wielomianów reprezentujących potencjalne wiadomości
 - $L_r = B(d_r)$ jest zbiorem wielomianów, z których wybierana jest „blinding value” podczas szyfrowania
    

## Przebieg algorytmu

**Generowanie klucza**

 - Losowy wybór wielomianu $f∈L_f$, takiego że $f$ jest odwracalne modulo $q$ i $p$
 - Wyznaczenie $f_p≡f^{-1} (mod\,p)$ oraz $f_q≡f^{-1} (mod\,q)$
 - Losowy wybór wielomianu $g∈L_g$
 - Obliczenie $h=g*f_q (mod\,q)$ (gdzie $*$ jest operatorem splotu/konwolucji)
 - Opublikowanie klucza publicznego  $(N,h)$ oraz zestawu parametrów $p,q,L_f, L_g, L_r, L_m$
 - Zatrzymanie dla siebie klucza prywatnego $(f,f_p)$
 
**Szyfrowane**

 - Przedstawienie wiadomości jako wielomianu $m∈L_m$ 
 - Losowy wybór wielomianu $r∈L_r$
 - Zaszyfrowanie $m$ kluczem publicznym $(N,h)$ zgodnie z zasadą $e≡pr*h+m(mod\,q)$ (gdzie $*$ jest operatorem splotu/konwolucji)
 
**Deszyfrowanie**

 - Adresat oblicza $a≡f*e(mod\,q)$
 - Zamiana a na wielomian o współczynnikach z zakresu [$-q/2;q/2$]
 - Obliczenie $m≡f_p*a(mod\,p)$

Na podstawie badań, określono następujące parametry jakie powinny być używane przy używaniu NTRU
![ZDJ3.png](attachment:ZDJ3.png)

## Przykładowe zastosowanie NTRU

**Wybrane parametry:**


$$N\,=\,5$$
$$p\,=\,3$$
$$q\,=\,16$$
$$f\,=\,X^4+X+1$$
$$g\,=\,X^3-X$$
$$m\,=\,X^2-X+1$$
$$r\,=\,X-1$$



**Otrzymujemy:**

$$(X^3+X^2-1)*(X^4+X-1)\,≡\,1(mod\,3)$$

**Więc:**
$$f_p\,=\,X^3+X^2-1$$
$$f_q\,=\,X^3+X^2-1$$
$$h\,=\,-X^4-2X^3+2X+1\,≡\,f_q*g(mod\,16)$$

**Otrzymujemy klucz publiczny:**
$$(5,3,16,-X^4-2X^3+2X+1)$$

**Natomiast klucz prywatny to:**
$$f=X^4+X+1$$

**Obliczenie wiadomości zaszyfrowanej:**
$$c\,≡\,3r*h+m\,≡\,-3X^4+6X^3+7X^2-4X-5(mod\,16)$$

**Deszyfrowanie:**
$$a\,≡\,f*c\,≡\,4X^4-2X^3-5X^2+6X-2(mod\,16)$$

**Więc:**
$$ f_p*a\,≡\,X^2-X+1(mod\,3)$$

## Implementacja NTRU

Na starcie pomocnicze definicje wielomianów

In [2]:
from operator import add
from operator import neg
from operator import mod
from fractions import Fraction as frac
from numpy.polynomial import polynomial as P


def egcd(a, b):
    x,y, u,v = 0,1, 1,0
    while a != 0:
        q, r = b//a, b % a
        m, n = x-u * q, y-v * q
        b,a, x,y, u,v = a,r, u,v, m,n
    gcdVal = b
    return gcdVal, x, y

#Odwracanie modulo- użycie rozszerzeonego algorytmu Euklidesa w 
#celu znalezienia odwróconej wartości modulo
def modinv(a, m):
    gcdVal, x, y = egcd(a, m)
    if gcdVal != 1:
        return None  # modular inverse does not exist
    else:
        return x % m

#Funkcja modulo dla ułamków
def fracMod(f,m):
    [tmp,t1,t2]=egcd(f.denominator,m)
    if tmp!=1:
        print("ERROR GCD to nie 1")
        return 0
    else:
        out=modinv(f.denominator,m)*f.numerator % m
        return out

#Funkcje pomocnicze
def resize(c1,c2):
    if(len(c1)>len(c2)):
        c2=c2+[0]*(len(c1)-len(c2))
    if(len(c1)<len(c2)):
        c1=c1+[0]*(len(c2)-len(c1))
    return [c1,c2]

def trim(seq):
    if len(seq) == 0:
        return seq
    else:
        for i in range(len(seq) - 1, -1, -1):
            if seq[i] != 0:
                break
        return seq[0:i+1]
    
#Odejmowanie dwóch wielomianów
def subPoly(c1,c2):
    [c1,c2]=resize(c1,c2)	
    c2=list(map(neg,c2))
    out=list(map(add, c1, c2))
    return trim(out)

#Dodawanie dwóch wielomianów
def addPoly(c1,c2):
    [c1,c2]=resize(c1,c2)
    out=list(map(add, c1, c2))
    return trim(out)

#Mnożenie dwóch wielomianów
def multPoly(c1,c2):
        order=(len(c1)-1+len(c2)-1)
        out=[0]*(order+1)
        for i in range(0,len(c1)):
                for j in range(0,len(c2)):
                        out[j+i]=out[j+i]+c1[i]*c2[j]
        return trim(out)

#Dzielenie dwóch wielomianów
def divPoly(N,D):
    N, D = list(map(frac,trim(N))), list(map(frac,trim(D)))
    degN, degD = len(N)-1, len(D)-1
    if(degN>=degD):
        q=[0]*(degN-degD+1)
        while(degN>=degD and N!=[0]):
            d=list(D)
            [d.insert(0,frac(0,1)) for i in range(degN-degD)]
            q[degN-degD]=N[degN]/d[len(d)-1]
            d=list(map(lambda x: x*q[degN-degD],d))
            N=subPoly(N,d)
            degN=len(N)-1
        r=N
    else:
        q=[0]
        r=N
    return [trim(q),trim(r)]

#Wielomian mod liczba
def modPoly(c,k):
    if(k==0):
        print("K nie moze byc zerem")
    else:
        return list(map(lambda x: fracMod(x,k),c))

#Centrowanie wielomianu w zaleznosci od q
def cenPoly(c,q):
    u=float(q)/float(2)
    l=-u
    c=modPoly(c,q)
    c=list(map(lambda x: mod(x,-q) if x>u else x,c))
    c=list(map(lambda x: mod(x,q) if x<=l else x,c))
    return c

#Rozszerzony algorytm Euklidesa dla wielomianów 
def extEuclidPoly(a,b):
    switch = False
    a=trim(a)
    b=trim(b)
    if len(a)>=len(b):
        a1, b1 = a, b
    else:
        a1, b1 = b, a
        switch = True
    Q,R=[],[]
    while b1 != [0]:
        [q,r]=divPoly(a1,b1)
        Q.append(q)
        R.append(r)
        a1=b1
        b1=r
    S=[0]*(len(Q)+2)
    T=[0]*(len(Q)+2)
    S[0],S[1],T[0],T[1] = [1],[0],[0],[1]
    for x in range(2, len(S)):
        S[x]=subPoly(S[x-2],multPoly(Q[x-2],S[x-1]))
        T[x]=subPoly(T[x-2],multPoly(Q[x-2],T[x-1]))

    gcdVal=R[-2]
    s_out=S[-2]
    t_out=T[-2]
    scaleFactor=gcdVal[len(gcdVal)-1]
    gcdVal=list(map(lambda x:x/scaleFactor,gcdVal))
    s_out=list(map(lambda x:x/scaleFactor,s_out))
    t_out=list(map(lambda x:x/scaleFactor,t_out))
    if switch:
        return [gcdVal,t_out,s_out]
    else:
        return [gcdVal,s_out,t_out]
    

def isTernary(f,alpha,beta):
    ones=0
    negones=0
    for i in range(0,len(f)):
        if(f[i]==1):
            ones=ones+1
        if(f[i]==-1):
            negones=negones+1
    if (negones+ones)<=len(f) and alpha==ones and beta==negones :
        return True
    else:
        return False


## Główny kod NTRU 

In [3]:
import math

class Ntru:
    N, p, q, d = None, None, None, None
    f, g, h = None, None, None
    f_p, f_q, D = None, None, None

#Konstruktor - przyjmuje odpowiednie parametry
    def __init__(self, N_new, p_new, q_new):
        self.N = N_new
        self.p = p_new
        self.q = q_new
        D = [0] * (self.N + 1)
        D[0] = -1
        D[self.N] = 1
        self.D = D
        
#Używany jest rozszerzony algorytm Euklidesa dla wielomianow
    def genPublicKey(self, f_new, g_new, d_new): 
        self.f = f_new
        self.g = g_new
        self.d = d_new
        [gcd_f, s_f, t_f] = extEuclidPoly(self.f, self.D)
        self.f_p = modPoly(s_f, self.p)
        self.f_q = modPoly(s_f, self.q)
        self.h = self.reModulo(multPoly(self.f_q, self.g), self.D, self.q)
        if not self.runTests():
            quit()
            
    def getPublicKey(self):
        return self.h

    def setPublicKey(self,public_key):
        self.h = public_key
    
#Funkcja szyfrująca
    def encrypt(self,message,randPol):
        if self.h != None:
            e_tilda = addPoly(multPoly(multPoly([self.p], randPol), self.h), message)
            e = self.reModulo(e_tilda, self.D, self.q)
            return e
        else:
            print("Brak klucza publicznego, ", end = '')


    def decryptSQ(self,encryptedMessage):
        F_p_sq = multPoly(self.f_p, self.f_p)
        f_sq = multPoly(self.f, self.f)
        temp = self.reModulo(multPoly(f_sq, encryptedMessage), self.D, self.q)
        centered = cenPoly(temp, self.q)
        m1 = multPoly(F_p_sq, centered)
        temp = self.reModulo(m1, self.D, self.p)
        return trim(temp) 

    def decrypt(self,encryptedMessage):
        temp = self.reModulo(multPoly(self.f, encryptedMessage), self.D, self.q)
        centered = cenPoly(temp, self.q)
        m1 = multPoly(self.f_p, centered)
        temp = self.reModulo(m1, self.D, self.p)
        return trim(temp)

    def reModulo(self, num ,div, modby):
        [_,remain] = divPoly(num, div)
        return modPoly(remain, modby)
    
    def isPrime(self):
        if self.N % 2 == 0 and self.N > 2: 
            return False
        return all(self.N % i for i in range(3, int(math.sqrt(self.N)) + 1, 2))
        
#Metoda sprawdzająca czy parametry spełniaja odpowiednie założenia
    def runTests(self):			
        if not self.isPrime() :
            print("N nie jest liczba pierwsza")
            return False
    
        if math.gcd(self.N, self.p) != 1 :
            print("N i p nie sa wzglednie pierwsze")
            return False

        if math.gcd(self.N, self.q)!=1 :
            print("N i q nie są wzglednie pierwsze")
            return False
    
        if self.q <= (6 * self.d + 1) * self.p:
            return False
    
        if not isTernary(self.f, self.d+1, self.d):
            print("f nie spelnia zalozen")
            return False
        
        if not isTernary(self.g, self.d, self.d):
            print("g nie spelnia zalozen")
            return False
        
        return(True)

## Przykładowe szyfrowanie z użyciem kodu

In [4]:
print("Do wygenerowania klucza publicznego posluza parametry: ", end = '')
print("N = 7, p = 29, and q = 491531")
Bob = Ntru(7, 29, 491531)
# f(x) = 1 + x - x^2 - x^4 + x^5
f = [1, 1, -1, 0, -1, 1]
# g(x) = -1 + x^2 + x^3 - x^6
g = [-1, 0, 1, 1, 0, 0, -1]
d = 2
print("f(x)= ", f)
print("g(x)= ", g)
print("d   = ", d, "\n\n")

Bob.genPublicKey(f, g, 2)
pub_key = Bob.getPublicKey()
print("Klucz publiczny Boba: ", pub_key, "\n\n")

#Alicja
Alicja = Ntru(7, 29, 491531)
Alicja.setPublicKey(pub_key)
message = [1, 0, 1, 0, 1, 1, 1]
print("Oryginalna wiadomość: ", message)

# r(x) = -1 - x + x^2 + x^3
ranPol = [-1, -1, 1, 1]
print("Losowy wielomian: ", ranPol)
encryptedMessage = Alicja.encrypt(message, ranPol)
print("Zaszyfrowana wiadomosc: ", encryptedMessage, "\n\n")

#BOB
print("Odszyfrowana wiadomosc: ", Bob.decrypt(encryptedMessage))

Do wygenerowania klucza publicznego posluza parametry: N = 7, p = 29, and q = 491531
f(x)=  [1, 1, -1, 0, -1, 1]
g(x)=  [-1, 0, 1, 1, 0, 0, -1]
d   =  2 


Klucz publiczny Boba:  [394609, 27692, 62307, 263073, 346149, 41538, 339225] 


Oryginalna wiadomość:  [1, 0, 1, 0, 1, 1, 1]
Losowy wielomian:  [-1, -1, 1, 1]
Zaszyfrowana wiadomosc:  [283889, 269991, 484569, 353054, 179995, 159222, 235409] 


Odszyfrowana wiadomosc:  [1, 0, 1, 0, 1, 1, 1]


## Autorzy:
 - Szymon Ochman
 - Norbert Roczniak

## Bibliografia : 
 - https://pl.wikipedia.org/wiki/Krata_(matematyka)
 - https://ichi.pro/pl/obliczenia-optyczne-w-kryptografii-kryptografia-oparta-na-sieciach-179846731703999
 - https://pl.hrvwiki.net/wiki/Lattice_problem
 - https://pl.wikipedia.org/wiki/NTRU
 - https://blog.isec.pl/ntru-public-key-cryptosystem-explained/
 - https://math.uwb.edu.pl/~mariusz/share/classes/tk/teoria_krat-w.pdf
 