# Starter

## Working with Fields

El conjunto de enteros módulo `N`, junto con las operaciones de suma y multiplicación, forma un anillo `Z/NZ`. Básicamente, esto significa que al sumar o multiplicar dos elementos cualesquiera del conjunto, se obtiene otro elemento del mismo.

Cuando el módulo es primo: `N=p`, se garantiza además un inverso multiplicativo de cada elemento del conjunto, por lo que el anillo se convierte en un cuerpo. En particular, nos referimos a este cuerpo como un cuerpo finito, denotado `Fp`.

El protocolo Diffie-Hellman funciona con elementos de un cuerpo finito `Fp`, donde el módulo primo suele ser muy grande (miles de bits), pero para los siguientes desafíos, mantendremos números más pequeños para mayor compacidad.

Dado el primo `p=991`, y el elemento `g=209`, encuentre el elemento inverso `d=g^(-1)` tal que `g ⋅ d mod 991 = 1`.

In [None]:
p = 991
g = 209

pow(g, -1, 991)

## Generators of Groups

Cada elemento de un cuerpo finito `Fp` puede usarse para formar un subgrupo `H` bajo la acción repetida de multiplicación. En otras palabras, para un elemento `g`, el subgrupo `H=⟨g⟩={g,g2,g3,…}`

Un elemento primitivo de `Fp` es un elemento cuyo subgrupo `H=Fp∗`, es decir, cada elemento distinto de cero de `Fp`, puede escribirse como `g^(n) mod p` para algún entero `n`. Por ello, los elementos primitivos a veces se denominan generadores del cuerpo finito.

Para el cuerpo finito con `p=28151`, encuentre el elemento `g` más pequeño que sea un elemento primitivo de `Fp`.

> Este problema se puede resolver mediante fuerza bruta, pero también hay formas inteligentes de acelerar el cálculo.

In [None]:
p=28151

def get_min_generator(p):
  for g in range(2, p):
    for n in range(1, p-1):
      if pow(g, n, p) == p-1:
        return g

get_min_generator(p)

## Computing Public Values

Se utiliza el protocolo Diffie-Hellman porque se asume que el logaritmo discreto es un cálculo complejo para grupos cuidadosamente seleccionados.

El primer paso del protocolo consiste en establecer un primo `p` y un generador del cuerpo finito `g`. Estos deben seleccionarse cuidadosamente para evitar casos especiales en los que el logaritmo discreto pueda resolverse con algoritmos eficientes. Por ejemplo, se suele elegir un primo seguro `p=2⋅q+1` de modo que los únicos factores de `p-1` sean `{2,q}`, donde `q` es otro primo grande. Esto protege a DH del [algoritmo Pohlig-Hellman](https://en.wikipedia.org/wiki/Pohlig%E2%80%93Hellman_algorithm).

El usuario selecciona entonces un entero secreto `a<p-1` y calcula `g^(a) mod p`. Esto puede transmitirse a través de una red insegura y, debido a la supuesta dificultad del logaritmo discreto, el entero secreto debería ser inviable de calcular. El valor `a` se conoce como el valor secreto, mientras que `A= g^(a) mod p` es el valor público.

Dados los parámetros del NIST:

```
g: 2
p: 2410312426921032588552076022197566074856950548502459942654116941958108831682612228890093858261341614673227141477904012196503648957050582631942730706805009223062734745341073406696246014589361659774041027169249453200378729434170325843778659198143763193776859869524088940195577346119843545301547043747207749969763750084308926339295559968882457872412993810129130294592999947926365264059284647209730384947211681434464714438488520940127459844288859336526896320919633919
```

Calcular el valor de `g^(a) mod p` para

```
 a: 972107443837033796245864316200458246846904598488981605856765890478853088246897345487328491037710219222038930943365848626194109830309179393018216763327572120124760140018038673999837643377590434413866611132403979547150659053897355593394492586978400044375465657296027592948349589216415363722668361328689588996541370097559090335137676411595949335857341797148926151694299575970292809805314431447043469447485957669949989090202320234337890323293401862304986599884732815
```





In [None]:
g=2
p=2410312426921032588552076022197566074856950548502459942654116941958108831682612228890093858261341614673227141477904012196503648957050582631942730706805009223062734745341073406696246014589361659774041027169249453200378729434170325843778659198143763193776859869524088940195577346119843545301547043747207749969763750084308926339295559968882457872412993810129130294592999947926365264059284647209730384947211681434464714438488520940127459844288859336526896320919633919
a=972107443837033796245864316200458246846904598488981605856765890478853088246897345487328491037710219222038930943365848626194109830309179393018216763327572120124760140018038673999837643377590434413866611132403979547150659053897355593394492586978400044375465657296027592948349589216415363722668361328689588996541370097559090335137676411595949335857341797148926151694299575970292809805314431447043469447485957669949989090202320234337890323293401862304986599884732815

pow(g, a, p)

## Computing Shared Secrets

Ahora es el momento de calcular un secreto compartido usando los datos recibidos de tu amiga Alice. Como antes, usaremos los parámetros NIST:

```
g: 2
p: 2410312426921032588552076022197566074856950548502459942654116941958108831682612228890093858261341614673227141477904012196503648957050582631942730706805009223062734745341073406696246014589361659774041027169249453200378729434170325843778659198143763193776859869524088940195577346119843545301547043747207749969763750084308926339295559968882457872412993810129130294592999947926365264059284647209730384947211681434464714438488520940127459844288859336526896320919633919
```

Has recibido el siguiente número entero de Alice:

```
A: 70249943217595468278554541264975482909289174351516133994495821400710625291840101960595720462672604202133493023241393916394629829526272643847352371534839862030410331485087487331809285533195024369287293217083414424096866925845838641840923193480821332056735592483730921055532222505605661664236182285229504265881752580410194731633895345823963910901731715743835775619780738974844840425579683385344491015955892106904647602049559477279345982530488299847663103078045601
```

Genera tu entero secreto `b` y calcula tu valor público `B=g^(b) mod p`, que envías a Alice.

```
b: 12019233252903990344598522535774963020395770409445296724034378433497976840167805970589960962221948290951873387728102115996831454482299243226839490999713763440412177965861508773420532266484619126710566414914227560103715336696193210379850575047730388378348266180934946139100479831339835896583443691529372703954589071507717917136906770122077739814262298488662138085608736103418601750861698417340264213867753834679359191427098195887112064503104510489610448294420720
B: 518386956790041579928056815914221837599234551655144585133414727838977145777213383018096662516814302583841858901021822273505120728451788412967971809038854090670743265187138208169355155411883063541881209288967735684152473260687799664130956969450297407027926009182761627800181901721840557870828019840218548188487260441829333603432714023447029942863076979487889569452186257333512355724725941390498966546682790608125613166744820307691068563387354936732643569654017172
```

> Intenta calcular `B` tú mismo y verifica que todo funcione correctamente con los valores anteriores.

Tú y Alice ahora pueden calcular un secreto compartido usando los valores secretos `a, b` con los valores públicos de cada uno, `B, A`. Ten en cuenta que calcular este valor compartido no es factible conociendo solo `{g, p, A, B}`; es el conocimiento de `a, b` lo que permite generar el valor compartido.

¿Cuál es tu secreto compartido?








In [None]:
g=2
p=2410312426921032588552076022197566074856950548502459942654116941958108831682612228890093858261341614673227141477904012196503648957050582631942730706805009223062734745341073406696246014589361659774041027169249453200378729434170325843778659198143763193776859869524088940195577346119843545301547043747207749969763750084308926339295559968882457872412993810129130294592999947926365264059284647209730384947211681434464714438488520940127459844288859336526896320919633919

A=70249943217595468278554541264975482909289174351516133994495821400710625291840101960595720462672604202133493023241393916394629829526272643847352371534839862030410331485087487331809285533195024369287293217083414424096866925845838641840923193480821332056735592483730921055532222505605661664236182285229504265881752580410194731633895345823963910901731715743835775619780738974844840425579683385344491015955892106904647602049559477279345982530488299847663103078045601

b=12019233252903990344598522535774963020395770409445296724034378433497976840167805970589960962221948290951873387728102115996831454482299243226839490999713763440412177965861508773420532266484619126710566414914227560103715336696193210379850575047730388378348266180934946139100479831339835896583443691529372703954589071507717917136906770122077739814262298488662138085608736103418601750861698417340264213867753834679359191427098195887112064503104510489610448294420720
B=518386956790041579928056815914221837599234551655144585133414727838977145777213383018096662516814302583841858901021822273505120728451788412967971809038854090670743265187138208169355155411883063541881209288967735684152473260687799664130956969450297407027926009182761627800181901721840557870828019840218548188487260441829333603432714023447029942863076979487889569452186257333512355724725941390498966546682790608125613166744820307691068563387354936732643569654017172

assert pow(g, b, p) == B

# A^b mod p or B^a mod p
pow(A, b, p)