<p style="text-align: center;"><span style="color: #ff0000;"><strong><span style="font-size: x-large;">
    ANEXO 6: ALGORITMOS PKE</span></strong></span></p>

<p style="text-align: center;"><span style="color: black;"><strong><span style="font-size: x-large;">Realizado por:</span></strong></span></p>
<p style="text-align: center;"><span style="color: black;"><strong><span style="font-size: x-large;">Gabriel Vacaro Goytia</span></strong></span></p>
<p style="text-align: center;"><span style="color: black;"><strong><span style="font-size: x-large;">Ignacio Warleta Murcia</span></strong></span></p>

Este notebook contiene una implementaci√≥n de los algoritmos fundamentales del esquema de cifrado post‚Äìcu√°ntico Kyber, en particular el KyberKEM (Key Encapsulation Mechanism). Kyber es un sistema criptogr√°fico basado en el problema de Redes Lattice y es uno de los candidatos m√°s destacados para ser parte del est√°ndar de criptograf√≠a post-cu√°ntica propuesto por el NIST.

Organizamos el anexo seg√∫n el siguiente √≠ndice:

# √çndice

1. [Introducci√≥n](#1.-Introducci√≥n)
2. [Configuraci√≥n previa](#2.-Configuracion-previa)
3. [Algoritmo de generacion de claves KEM](#3.-Algoritmo-de-generacion-de-claves-KEM)
4. [Algoritmo de encapsulado](#4.-Algoritmo-de-encapsulado)
5. [Algoritmo de desencapsulado](#5.-Algoritmo-de-desencapsulado)
6. [Ejemplo de uso](#6.-Ejemplo-de-uso)

---
# 1. Introducci√≥n






Este notebook cuenta con los 3 algoritmos relativos al KEM de Kyber‚ÄìKEM:

- Generaci√≥n de claves (Key Generation) <br>
- Encapsulado (Encapsulation) <br>
- Desencapsulado (Decapsulation) <br>

El prop√≥sito de esta implementaci√≥n es comprender los detalles detr√°s de cada fase del esquema Kyber‚ÄìKEM de manera did√°ctica, con especial √©nfasis en los aspectos t√©cnicos que permiten asegurar la privacidad y la integridad de la comunicaci√≥n en un entorno potencialmente afectado por computadoras cu√°nticas. <br>


---
# 2. Configuracion previa

A continuaci√≥n, se muestra la configuraci√≥n previa a ejecutar y los par√°metros a definir. En este caso hemos optado por un primo $q$ relativamente peque√±o, 743, dado su caracter did√°ctico, ya que, de esta manera se puede apreciar ligeramente el error que se produce al descifrar el mensaje. Por supuesto, el usuario es libre de cambiar este primo a su gusto y comprobar por su cuenta como se maneja el error. Adem√°s haremos uso de los algoritmos ya vistos relativos al PKE como son la generaci√≥n de claves, el cifrado y descifrado. Cabe decir que se han realizado modificaciones al m√©todo implementado de cifrado para que sea capaz de soportar las semillas de mayor tama√±o con las que trabajamos en encapsulaci√≥n.

In [33]:
#MODULOS A IMPORTAR
import numpy as np
import hashlib
import secrets

In [34]:
# Par√°metros b√°sicos
q = 743  # Un n√∫mero primo peque√±o t√≠pico en Kyber podr√≠a ser 3329
k = 3  # Tama√±o del vector/matriz (var√≠a seg√∫n los est√°ndares Kyber-512, 768, 1024)
mu_1 = 0.0  # Par√°metro para la distribuci√≥n de error m√°s controlado (menor desviaci√≥n est√°ndar)

In [35]:
# Algoritmos PKE

# Funciones auxiliares

def generate_seed(n=16):
    
    """
    Generaci√≥n de semilla aleatoria de n bytes 
     
    Par√°metros:
    - n: n√∫mero de bytes (16 por defecto)
    
    Retorna:
    - Semilla aleatorio de n bytes.
    """
    return secrets.token_bytes(n)

def generate_matrix_A(seed, k, q):
    """
    Esta funci√≥n genera una matriz aleatoria k √ó k con valores en el rango 
    [0,q), utilizando una semilla dada para asegurar la reproducibilidad de los n√∫meros aleatorios.
     
    Par√°metros:
    - seed: Un valor en bytes que se usa para inicializar la semilla del generador de n√∫meros aleatorios.
    - k: Dimensi√≥n de la matriz cuadrada que se va a generar.
    - q: m√≥dulo sobre el que se trabaja.
    
    Retorna:
    - Matriz aleatorio kxk con valores en [0,q)
    """
    np.random.seed(int.from_bytes(seed, "big") % (2**32)) # Convertir semilla a entero usando big-endian limitado a 32 bits
    return np.random.randint(0, q, size=(k, k)) 

def sample_error(mu, k, q, seed=None):
    """
    Esta funci√≥n genera un vector de errores siguiendo una distribuci√≥n normal centrada en 0 
    con desviaci√≥n est√°ndar mu en m√≥dulo q. Si no se introduce semilla, se utilizar√° 
    el estado actual del generador aleatorio de NumPy, permitiendo que los valores 
    generados var√≠en en cada ejecuci√≥n. 
     
    Par√°metros:
    - mu: Desviaci√≥n est√°ndar de la distribuci√≥n normal.
    - k: N√∫mero de filas del vector (dimensi√≥n del error).
    - q: M√≥dulo sobre el cual se trabaja.
    - seed: Valor opcional para fijar la semilla del generador aleatorio.
    
    Retorna:
    - Vector k dimensional de valores aleatorios en el rango [0,q).
    """
    if seed is not None:
        state = np.random.get_state()  # Guarda el estado actual del generador
        if isinstance(seed, bytes):  # Si es de tipo Bytes:
            seed = int.from_bytes(seed, "big") % (2**32) # Refundicion a entero en rango de 32 bits.
        np.random.seed(seed)  # Fija la semilla para reproducibilidad

    error = np.round(np.random.normal(0, mu, size=(k, 1))).astype(int) % q  # Genera el vector de errores

    if seed is not None:
        np.random.set_state(state)  # Restaura el estado original del generador

    return error

# Algoritmo 1: Generaci√≥n de Claves G'
def key_generation():
    """
    Generaci√≥n de claves p√∫blica y secreta para un esquema basado en LWE; relativo al PKE.
    
    Retorna:
    - Clave p√∫blica (b, seed_A): Vector b y semilla para regenerar la matriz A.
    - Clave secreta s: Vector secreto utilizado para descifrar.
    """
    seed_A = generate_seed() # Se genera una semilla aleatoria para construir la matriz A de forma determinista
    A = generate_matrix_A(seed_A, k, q) # Se genera la matriz A de dimensi√≥n k x k en m√≥dulo q
    s = sample_error(mu_1, k, q)  # Se genera el vector secreto s con distribuci√≥n gaussiana
    e = sample_error(mu_1, k, q)  # Se genera el vector error la misma distribuci√≥n
    b = (A @ s + e) % q   # Se calcula el vector b como b = (A * s + e) mod q
    return (b, seed_A), s

# Algoritmo 2: Cifrado modificado para usar semilla
def encrypt(pk, m, seed=None):
    """
    Esta funci√≥n implementa el algoritmo de cifrado del PKE modificado con el uso opcional 
    de una semilla para garantizar la reproducibilidad de los valores aleatorios 
    generados.
    
    Par√°metros:
    - pk: Clave p√∫blica (b, seed_A), donde:
        - b: Vector b generado en la fase de generaci√≥n de claves.
        - seed_A: Semilla usada para reconstruir la matriz A.
    - m: Mensaje a cifrar (normalmente representado como un n√∫mero en ‚Ñ§_q).
    - seed: Valor opcional que, si se proporciona, permite generar errores y aleatoriedad 
      de forma determinista mediante el uso de una funci√≥n hash.

    Retorna:
    - (u, v): Par de valores cifrados.
    - r: Vector de aleatorizaci√≥n utilizado en el cifrado.
    - e_1: Vector de error agregado a u.
    - e_2: Valor de error agregado a v.
    """
    b, seed_A = pk # valores de la clave p√∫blica
    if seed:     # Si se proporciona una semilla, se usa SHA3-256 para derivar valores deterministas
        hash_output = hashlib.sha3_256(seed).digest() # Hash de la semilla
        r_seed = hash_output[:4]  # Usar solo 4 bytes (32 bits)
        e1_seed = hash_output[4:8]
        e2_seed = hash_output[8:12]
        # Se generan los vectores de aleatorizaci√≥n y errores de forma determinista
        r = sample_error(mu_1, k, q, int.from_bytes(r_seed, 'big'))
        e_1 = sample_error(mu_1, k, q, int.from_bytes(e1_seed, 'big'))
        e_2 = sample_error(mu_1, k, q, int.from_bytes(e2_seed, 'big'))
    else:
        # Si no hay semilla no ser√° reproducible
        r = sample_error(mu_1, k, q)
        e_1 = sample_error(mu_1, k, q)
        e_2 = sample_error(mu_1, k, q)
    
    A = generate_matrix_A(seed_A, k, q)     
    u = (A.T @ r + e_1) % q  # Se calcula u = (A·µÄ * r + e‚ÇÅ) mod q
    v = (b.T @ r + e_2 + m) % q # Se calcula v = (b·µÄ * r + e‚ÇÇ + m) mod q
    return (u, v), r, e_1, e_2

def decrypt(sk, c):
    """
    implementa el algoritmo de descifrado basado en LWE; relativo al PKE, recuperando el mensaje original 
    a partir del par cifrado (u, v) y la clave secreta s.

    Par√°metros:
    - sk: Clave secreta utilizada en la generaci√≥n de claves.
    - c: Texto cifrado (u, v), donde:
      - u: Vector generado durante el cifrado.
      - v: Valor resultante que contiene el mensaje m√°s ruido.

    Retorna:
    - El mensaje descifrado en el dominio ‚Ñ§_q.
    """
    u, v = c  
    s = sk  
    # Se recupera el mensaje m utilizando la relaci√≥n v - s·µÄ * u mod q
    return (v - (s.T @ u)) % q  

---
# 3. Algoritmo de generacion de claves KEM

1. **Generaci√≥n del vector $z$:**  
   Primeramente, generamos un vector $z$ de 256 bits aleatorios. Este valor se utiliza como ¬´entrop√≠a¬ª o ¬´salto aleatorio¬ª y es esencial para mantener la seguridad del sistema. Se usa en la clave secreta final $sk$, y la elecci√≥n de 256 bits proporciona suficiente aleatoriedad para asegurar que la clave secreta sea impredecible.

2. **Llamada al algoritmo de generaci√≥n de claves $G'$:**  
   En el siguiente paso, llamamos al algoritmo de generaci√≥n de claves $G'$ descrito anteriormente. De este algoritmo, obtenemos la clave p√∫blica $pk$ y la clave secreta intermedia $sk'$, que solo se utilizar√° para generar la nueva clave secreta final $sk$.

3. **Construcci√≥n de la clave secreta final $sk$:**  
   En este paso, construimos la clave secreta final $sk$ concatenando varios componentes:  
   - La clave secreta intermedia $sk'$.  
   - La clave p√∫blica $pk$.  
   - El resultado de aplicar una funci√≥n hash $H$ sobre la clave p√∫blica, $H(pk)$.  
   El prop√≥sito de aplicar la funci√≥n hash sobre la clave p√∫blica es incluir un resumen de la misma en la clave secreta. Esto mejora la seguridad, ya que asegura que la clave secreta dependa de la clave p√∫blica, lo que ayuda a evitar ciertos tipos de ataques.

4. **Concatenaci√≥n final y devoluci√≥n de claves:**  
   Finalmente, concatenamos el vector $z$ y se devuelve la clave p√∫blica $pk$ junto con la clave secreta final $sk$.


In [36]:
# Algoritmo de Generaci√≥n de Claves KEM
def key_gen_G():
    """
    Esta funci√≥n implementa la generaci√≥n de claves para el estandar Kyber-KEM.
    Utiliza un esquema basado en LWE y genera tanto la clave p√∫blica como la clave secreta.
    
    Retorna:
    - pk: Clave p√∫blica generada.
    - sk: Clave secreta generada.
    """
    z = secrets.token_bytes(32) # Generaci√≥n del vector z de 256 bits. 
    pk, sk_prime = key_generation()  # Generaci√≥n de la clave p√∫blica y la clave secreta intermedia.
    b, seed_A = pk
    sk_prime_bytes = sk_prime.tobytes() #Convierte sk_prime en una secuencia de bytes 
    pk_bytes = b.tobytes() + seed_A     # Se convierte el vector b y la semilla seed_A en bytes y se concatenan
    H_pk = hashlib.sha3_256(pk_bytes).digest()   #Calcula el hash SHA3‚Äì256 y devuelve una secuencia de bytes
    sk = sk_prime_bytes + pk_bytes + H_pk + z     # La clave secreta final se construye concatenando sk_prime, pk_bytes, H_pk y z
    return pk, sk

---
# 4. Algoritmo de encapsulado

1. **Generaci√≥n del valor $m'$:**  
   El primer paso del algoritmo de encapsulado consiste en generar un valor $m'$ de 256 bits aleatorios. Luego, en el siguiente paso, se produce un valor $m$ al aplicarle a $m'$ una funci√≥n hash $H$.  
   El prop√≥sito de este paso es generar una ¬´clave derivada¬ª a partir de los 256 bits aleatorios, pero con una forma adecuada para el cifrado, es decir, con una longitud est√°ndar, lo cual se consigue gracias a la funci√≥n hash $H$.

2. **Construcci√≥n de la clave compartida $K ÃÖ$ y valor $r$:**  
   En el tercer paso, construimos una clave $K ÃÖ$ y un valor $r$ concatenando $m$ y el hash de la clave p√∫blica, $H(pk)$.  
   - $K ÃÖ$ es una clave compartida que se utilizar√° para la comunicaci√≥n posterior.  
   - La concatenaci√≥n de $m$ y $H(pk)$ garantiza que $K ÃÖ$ dependa tanto del valor aleatorio inicial como de la clave p√∫blica del destinatario.  
   Esto asegura que el proceso de cifrado sea seguro y dependiente de la clave p√∫blica.

3. **Cifrado del mensaje ($c$):**  
   En el siguiente paso, se realiza el cifrado utilizando la clave p√∫blica y los valores $m$ y $r$ como par√°metros de entrada.  
   El resultado de este paso es el mensaje cifrado $c$.

4. **Derivaci√≥n de la clave compartida final $K$:**  
   Seguidamente, se realiza una funci√≥n de derivaci√≥n de claves (KDF, Key Derivation Function) para generar la clave compartida final $K$.  
   - Primero, se concatenan la clave $K ÃÖ$ generada en el paso 2 y el hash de $c$.  
   - La funci√≥n KDF toma esta concatenaci√≥n y produce la clave derivada final $K$.  
   El uso de KDF asegura que la clave derivada final $K$ tenga una longitud adecuada y sea segura para ser utilizada como una clave secreta compartida entre el emisor y el receptor.

5. **Devoluci√≥n de los resultados:**  
   Finalmente, el algoritmo devuelve el mensaje cifrado $c$ y la clave compartida $K$.


In [37]:
# Algoritmo de Encapsulado KEM
def encapsulate(pk):
    """
    Esta funci√≥n implementa el mecanismo de encapsulaci√≥n de clave relativo a Kyber-KEM, 
    generando una clave compartida segura a partir de la clave p√∫blica del receptor.

    Par√°metros:
    - pk: Clave p√∫blica del receptor, utilizada para cifrar el mensaje.

    Retorna:
    - c: Texto cifrado resultante.
    - K: Clave compartida derivada.
    """
    m_prime = secrets.token_bytes(32)     # Se genera un valor aleatorio m' de 256 bits (32 bytes)
    m = hashlib.sha3_256(m_prime).digest() # Se aplica SHA3-256 a m' para obtener m
    b, seed_A = pk   # Se obtiene la clave p√∫blica (b, seed_A)
    pk_bytes = b.tobytes() + seed_A  # Se convierte la clave p√∫blica en una secuencia de bytes
    H_pk = hashlib.sha3_256(pk_bytes).digest()    # Se calcula el hash SHA3-256 de la clave p√∫blica
    m_Hpk = m + H_pk # Se concatena m con H(pk) para obtener una clave compartida intermedia K_bar
    K_bar = m_Hpk[:32] #la clave compartida la componen los 32 primeros bytes
    r_seed = m_Hpk[32:36]  # 4 bytes para la semilla

    #Convertimos fragmentos de una secuencia de bytes m en una lista de enteros (m_ints) aplicandotelas un m√≥dulo q a cada uno
    m_ints = [int.from_bytes(m[i*4:(i+1)*4], 'big') % q for i in range(k)] 
    m_vector = np.array(m_ints, dtype=int).reshape((k, 1)) #Convertimos la lista en un vector columna
    
    c, _, _, _ = encrypt(pk, m_vector, r_seed) # Se cifra el mensaje utilizando la clave p√∫blica y la semilla 
    u, v = c
    c_bytes = u.tobytes() + v.tobytes() # Se convierte el texto cifrado en una secuencia de bytes
    H_c = hashlib.sha3_256(c_bytes).digest()   # Se calcula el hash SHA3-256 del mensaje cifrado c
    K = hashlib.sha3_256(K_bar + H_c).digest() # Se aplica SHA3-256 a la concatenaci√≥n de K_bar y H_c para obtener la clave final K
    
    print("üîé Depuraci√≥n en encapsulate:")
    print(f"üü¢ Clave p√∫blica utilizada: {pk}")
    print(f"üü° Valor aleatorio m': {m_prime.hex()}")
    print(f"üü° Hash de m' (m): {m.hex()}")
    print(f"üü£ m_vector: {m_vector}")
    print(f"üü° Hash de clave p√∫blica (H_pk): {H_pk.hex()}")
    print(f"üü° K_bar (32 bytes de m + H_pk): {K_bar.hex()}")
    print(f"üü° Semilla r_seed (4 bytes): {r_seed.hex()}")
    print(f"üü£ Mensaje cifrado (c): {(c[0].tobytes() + c[1].tobytes()).hex()}")
    print(f"üü° Hash del mensaje cifrado (H_c): {H_c.hex()}")
    print(f"üîê Clave final encapsulada K: {K.hex()}\n")

    return c, K

---
# 5. Algoritmo de desencapsulado

El objetivo del desencapsulado es que el receptor recupere la clave compartida $K$ a partir de un mensaje cifrado $c$. Para ello, el receptor usa la clave secreta $sk$ y realiza una serie de pasos de verificaci√≥n para asegurarse de que el mensaje cifrado no ha sido alterado.

1. **C√°lculo del valor $h$:**  
   El receptor comienza calculando un valor $h$ a partir de su clave secreta $sk$.  
   Este valor $h$ se deriva utilizando par√°metros espec√≠ficos como $k$ (tama√±o de la matriz) y $n$ (n√∫mero de dimensiones), adem√°s de una constante $+32$. Este valor $h$ se utilizar√° en el proceso de verificaci√≥n del mensaje cifrado.

2. **C√°lculo del valor $z$:**  
   Luego, se calcula el segundo valor, $z$, que tambi√©n es una combinaci√≥n de la clave secreta $sk$ y los par√°metros $k$ y $n$, pero con la constante $+64$.  
   Este valor $z$ es un valor intermedio que se utilizar√° en caso de que el mensaje cifrado haya sido alterado.

3. **Descifrado del mensaje:**  
   A continuaci√≥n, el receptor utiliza su clave secreta $sk$ para descifrar el mensaje $c$ utilizando el algoritmo de descifrado $D(sk,c)$ (Algoritmo 3), obteniendo el mensaje $m ÃÉ$.

4. **Generaci√≥n de la clave compartida $K ÃÖ$ y valor $r'$:**  
   Con el mensaje recuperado $m ÃÉ$ y el valor $h$ calculado en el primer paso, el receptor genera una clave compartida $K ÃÖ$ y un valor $r'$ mediante la funci√≥n hash $G(m ÃÉ||h)$.  
   - $K ÃÖ$ es la clave compartida generada a partir de $m ÃÉ$ y $h$.  
   - $r'$ es un valor adicional utilizado en el siguiente paso para garantizar la integridad.  
   La funci√≥n hash $G$ asegura que el proceso sea seguro y √∫nico. Debido a que $G$ es una funci√≥n hash criptogr√°fica, tanto $K ÃÖ$ como $r'$ son determin√≠sticos pero dif√≠ciles de predecir sin conocer $m ÃÉ$ y $h$.

5. **Generaci√≥n del mensaje cifrado $c'$:**  
   Despu√©s de obtener $K ÃÖ$ y $r'$, el receptor genera un nuevo mensaje cifrado $c'$ utilizando la funci√≥n de cifrado $E(pk, m ÃÉ, r')$.

6. **Comparaci√≥n de los mensajes cifrados:**  
   El receptor compara el mensaje cifrado $c'$ con el mensaje cifrado $c$ que recibi√≥.  
   - Si $c'$ es igual a $c$, significa que el proceso fue correcto y que $K ÃÖ$ es la clave compartida correcta.  
   - Si la verificaci√≥n falla, el receptor utiliza el valor alternativo $z$ para generar la clave $K$ de forma diferente. Esta clave ser√° totalmente in√∫til para un atacante.

7. **Generaci√≥n de la clave final $K$:**  
   A continuaci√≥n, el receptor genera la clave final $K$ mediante la funci√≥n de derivaci√≥n de claves (KDF).  
   - Se concatena la clave derivada $K ÃÖ$ con el valor hash $H(c)$ de $c$, lo que ayuda a asegurar la integridad y autenticidad del mensaje cifrado.

Si la verificaci√≥n fue exitosa, el receptor tendr√° la clave final $K$, que se utilizar√° para la comunicaci√≥n segura.


In [40]:
# Algoritmo de Desencapsulado KEM
def decapsulate(sk, c):
    """
    Esta funci√≥n implementa el mecanismo de desencapsulaci√≥n de Kyber-KEM, permitiendo al receptor 
    recuperar la clave compartida K a partir del mensaje cifrado c y su clave secreta sk.

    Par√°metros:
    - sk: Clave secreta del receptor, utilizada para descifrar el mensaje cifrado.
    - c: Texto cifrado recibido.

    Retorna:
    - K: Clave compartida derivada tras la verificaci√≥n de integridad del mensaje cifrado.
    """
    
    sk_prime_len = 4 * k # Tama√±o de la clave secreta sk'
    pk_len = 4*k + 16    # Tama√±o de la clave p√∫blica en bytes
    h_start = sk_prime_len + pk_len   # Posici√≥n de inicio de h dentro de sk
    h = sk[h_start:h_start+32]        # Se obtiene h (32 bytes)
    z = sk[h_start+32:h_start+64]     # Se obtiene z (32 bytes)
    
    #Toma los primeros bytes de sk y los interpreta como enteros de 32 bits (.int32)
    #Luego los reorganiza en un vector columna Kx1
    s = np.frombuffer(sk[:sk_prime_len], dtype=np.int32).reshape((k,1)) 
    
    # Se reconstruye la clave p√∫blica pk a partir de los siguientes bytes de sk.
    pk = (np.frombuffer(sk[sk_prime_len:sk_prime_len+4*k], dtype=np.int32).reshape((k,1)), 
          sk[sk_prime_len+4*k:sk_prime_len+pk_len])

    # Se descifra el mensaje cifrado c utilizando la clave secreta sk'
    m_tilde = decrypt(s, c)
    m_tilde_bytes = m_tilde.tobytes()
    m_tilde_ints = [int.from_bytes(m_tilde[i*4:(i+1)*4], 'big') % q for i in range(k)] 
    m_tilde_vector = np.array(m_tilde_ints, dtype=int).reshape((k, 1)) #Convertimos la lista en un vector columna    

    # Se genera la clave compartida intermedia K_bar' y el valor r' a partir de m~ y h
    m_tilde_h = m_tilde_bytes + h # Se concatena m~ con h
    G_output = hashlib.sha3_256(m_tilde_h).digest()   # Se calcula el hash SHA3-256
    K_bar_prime = G_output[:32]    # Los primeros 32 bytes corresponden a la clave compartida K_bar'
    r_prime_seed = G_output[32:]   # Los siguientes bytes corresponden a la semilla r'

    # Se vuelve a cifrar el mensaje m~ con la clave p√∫blica pk y la semilla r'
    c_prime, _, _, _ = encrypt(pk, m_tilde, r_prime_seed)
    u, v = c   # Se extraen las partes del mensaje cifrado original
    c_bytes = u.tobytes() + v.tobytes()  # Se convierte el mensaje cifrado original en bytes
    u_prime, v_prime = c_prime  # Se extraen las partes del mensaje cifrado regenerado
    c_prime_bytes = u_prime.tobytes() + v_prime.tobytes() # Se convierte en bytes
    
    H_c = hashlib.sha3_256(c_bytes).digest() # Se calcula el hash del mensaje cifrado original
    
    print("üîé Depuraci√≥n en decapsulate:")
    print(f"üü¢ Clave p√∫blica reconstruida: {pk}")
    print(f"üü° Valor h: {h.hex()}")
    print(f"üü° Valor z: {z.hex()}")
    print(f"üü£ m_tilde_vector: {m_tilde_vector}")
    print(f"üì© Mensaje descifrado (m_tilde): {m_tilde.tobytes().hex()}")
    print(f"üü° r_prime_seed: {r_prime_seed}")
    print(f"üü° Hash de m_tilde + h: {hashlib.sha3_256(m_tilde_bytes + h).digest().hex()}")
    print(f"üü° K_bar_prime (primeros 32 bytes del hash): {K_bar_prime.hex()}")
    print(f"üü£ Mensaje cifrado original (c): {(c[0].tobytes() + c[1].tobytes()).hex()}")
    print(f"üü£ Mensaje cifrado regenerado (c_prime): {(c_prime[0].tobytes() + c_prime[1].tobytes()).hex()}")
    print(f"üîç ¬øc == c_prime? {'‚úÖ S√≠' if c_bytes == c_prime_bytes else '‚ùå No'}")
    
    if c_bytes == c_prime_bytes:
        print(f"üîê Clave final desencapsulada (usando K_bar_prime): {hashlib.sha3_256(K_bar_prime + H_c).digest().hex()}")
    else:
        print(f"üîê Clave final desencapsulada (usando z): {hashlib.sha3_256(z + H_c).digest().hex()}")


    if c_bytes == c_prime_bytes: # Se compara el mensaje cifrado regenerado con el original
        return hashlib.sha3_256(K_bar_prime + H_c).digest()         # Si coinciden, se usa K_bar' para generar la clave final K

    else:
        return hashlib.sha3_256(z + H_c).digest()         # Si no coinciden, se usa z en su lugar para generar la clave final K


---
# 6. Ejemplo de uso

A continuaci√≥n se muestra un ejemplo de uso utilizando los tres algoritmos:

In [42]:
"""
El problema parece estar en que el mensaje m y m_tilde no coinciden, 
por tanto la clave compartida k_bar no coincide y hace efecto bola y no coinciden las claves finales.
""" 
def print_header(title):
    print("\n" + "‚ïê" * 50)
    print(f"{title.center(50)}")
    print("‚ïê" * 50 + "\n")

# 1. Generar claves KEM
print_header("üîë GENERACI√ìN DE CLAVES KEM üîë")
pk, sk = key_gen_G()

print("üìú Clave P√∫blica (pk):")
print(f"üü¢ {pk}\n")
print("üîê Clave Secreta (sk):")
print(f"üü° {sk}\n")

# 2. Encapsulaci√≥n de clave
print_header("üîí ENCAPSULACI√ìN DE CLAVE üîí")
ciphertext, K_encap = encapsulate(pk)
print("üì¶ Clave encapsulada:")
print(f"üü£ {K_encap.hex()}\n")

# 3. Desencapsulaci√≥n de clave
print_header("üîì DESENCAPSULACI√ìN DE CLAVE üîì")
K_decap = decapsulate(sk, ciphertext)
print("üì¶ Clave desencapsulada:")
print(f"üü° {K_decap.hex()}\n")

# 4. Comparaci√≥n de claves
print_header("üìä COMPARACI√ìN DE CLAVES üìä")
status = "‚úÖ Coinciden" if K_encap == K_decap else "‚ùå No coinciden"
print(f"Resultado: {status}\n")



‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê
           üîë GENERACI√ìN DE CLAVES KEM üîë           
‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê

üìú Clave P√∫blica (pk):
üü¢ (array([[0],
       [0],
       [0]]), b'\xac<F\xfc\x81\x0f\xa0\xaei\x81{\xaa\xd6\xc7\xf5n')

üîê Clave Secreta (sk):
üü° b"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xac<F\xfc\x81\x0f\xa0\xaei\x81{\xaa\xd6\xc7\xf5n\xa0\xdfd\xa0\xf5\xff#X\xb2\x88/6\xd0@\xb2>g\xc7_\xa5\x87\xff\xff\xcag\x9c\xa5@5'\xe8\xd3>x&\x9a{\xa7\xe1\x89\xd3\xdf\xde<\xd1$f\x01\x8e\x04\x8e2z\x88\xbf\x01O\xc7I,\x89\x19\xdf\x87"


‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚

---
# 7. Ejemplo de uso did√°ctico

Dada la complejidad de c√°lculo del ejemplo anterior, se han realizado algunas modificaciones extra en los m√©todos de cifrado, descifrado encapsulado y densecapsulado, as√≠ como en la elecci√≥n de par√°metros, con el fin de ver que los c√°lculos son correctos y que realmente los algoritmos funcionan y cumplen su prop√≥sito.

In [45]:
# PAR√ÅMETROS REDUCIDOS
q = 127       # Modulo m√°s peque√±o (original 3329)
k = 2         # Dimensi√≥n reducida (original 3)
mu_1 = 0.5    # Menor dispersi√≥n de errores
SEED_BYTES = 8  # Semillas m√°s cortas (original 16)

In [47]:
# Funciones ajustadas
def generate_seed():
    return np.random.bytes(SEED_BYTES)

def generate_matrix_A(seed, k, q):
    np.random.seed(int.from_bytes(seed[:4], "big"))  # Usa solo 4 bytes
    return np.random.randint(0, q, size=(k, k))

def sample_error(mu, k, q, seed=None):
    if seed is not None:
        seed = seed % (2**32) #M√≥dulo 2^32 
        np.random.seed(seed)
    return np.random.randint(-1, 2, size=(k, 1)) % q  # Error uniforme simple

######## Generaci√≥n de claves simplificada ########
def key_generation():
    seed_A = generate_seed()
    A = generate_matrix_A(seed_A, k, q)
    s = sample_error(mu_1, k, q)
    e = sample_error(mu_1, k, q)
    b = (A @ s + e) % q
    return (b, seed_A), s

######## Cifrado optimizado ########
def encrypt(pk, m, seed=None):
    b, seed_A = pk
    if seed:
        r_seed = int.from_bytes(seed[:4], 'big') % (2**32)
        r = sample_error(mu_1, k, q, r_seed)
    else:
        r = sample_error(mu_1, k, q)
    
    A = generate_matrix_A(seed_A, k, q)
    u = (A.T @ r) % q
    v = (b.T @ r + m) % q  # Sin error adicional
    return (u, v)

######## Descifrado ########
def decrypt(sk, c):
    u, v = c
    return (v - (sk.T @ u)) % q

######## KEM simplificado ########
def key_gen_G():
    pk, sk = key_generation()
    return pk, sk.tobytes()  # Clave secreta simple

def encapsulate(pk):
    m = np.random.randint(0, q, size=(k, 1))
    c = encrypt(pk, m)
    K = hashlib.shake_128(m.tobytes()).digest(16)  # KDF ligero
    return c, K

def decapsulate(sk_bytes, c):
    sk = np.frombuffer(sk_bytes, dtype=int).reshape((k, 1))
    m = decrypt(sk, c)
    return hashlib.shake_128(m.tobytes()).digest(16)

######## Ejemplo de uso ########
if __name__ == "__main__":
# 1. Generar claves KEM
    print_header("üîë GENERACI√ìN DE CLAVES KEM üîë")
    pk, sk = key_gen_G()
    print(f"üìè Tama√±o clave p√∫blica: {len(pk[0].tobytes()) + len(pk[1])} bytes")
    print(f"üìè Tama√±o clave secreta: {len(sk)} bytes\n")
    
    print("üìú Clave P√∫blica (pk):")
    print(f"üü¢ {pk}\n")
    print("üîê Clave Secreta (sk):")
    print(f"üü° {sk}\n")

    # 2. Encapsulaci√≥n de clave
    print_header("üîí ENCAPSULACI√ìN DE CLAVE üîí")
    ciphertext, K_encap = encapsulate(pk)
    print("üì¶ Clave encapsulada:")
    print(f"üü£ {K_encap.hex()}\n")

    # 3. Desencapsulaci√≥n de clave
    print_header("üîì DESENCAPSULACI√ìN DE CLAVE üîì")
    K_decap = decapsulate(sk, ciphertext)
    print("üì¶ Clave desencapsulada:")
    print(f"üü° {K_decap.hex()}\n")

    # 4. Comparaci√≥n de claves
    print_header("üìä COMPARACI√ìN DE CLAVES üìä")
    status = "‚úÖ Coinciden" if K_encap == K_decap else "‚ùå No coinciden"
    print(f"Resultado: {status}\n")



‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê
           üîë GENERACI√ìN DE CLAVES KEM üîë           
‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê

üìè Tama√±o clave p√∫blica: 24 bytes
üìè Tama√±o clave secreta: 16 bytes

üìú Clave P√∫blica (pk):
üü¢ (array([[79],
       [44]]), b'\xa2]\xf8\xaa\x98:=\t')

üîê Clave Secreta (sk):
üü° b'\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'


‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê
            üîí ENCAPSULACI√ìN DE CLAVE üîí            
‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê‚ïê

üì¶ Clave enc