## Enunciado do primeiro exercício de avaliação:

**1.** Use a package cryptography    para  criar um comunicação privada assíncrona entre um agente Emitter e um agente Receiver que cubra os seguintes aspectos: \
    **a.** Comunicação cliente-servidor que use o package python `asyncio`.\
    **b.** Usar como cifra AEAD   o “hash” SHAKE-256  em modo XOFHash \
    **c.** As chaves de cifra  e  os “nounces” são gerados por um gerador KDF . As diferentes chaves para inicialização KDF  são inputs do emissor e do receptor.

## Introdução

Este enunciado propõe a implementação de uma comunicação privada assíncrona entre dois agentes, Emitter (emissor) e Receiver (receptor), utilizando Python. \
O foco deste projeto está em criar uma comunicação segura e assíncrona com as bibliotecas `asyncio` e `criptography`. \
Baseado no que o enunciado pede o grupo 7 decidiu definir os seguintes **requisitos funcionais** para o bom funcionamento do programa:

**RF1** - Deve haver uma lógica de cifraçãode mensagens através da cifra AEAD com hash SHAKE-256 em modo XOFHash\
**RF2** - Deve haver uma lógica de decifração de mensagens através da cifra AEAD com hash SHAKE-256 em modo XOFHash\
**RF3** - O servidor deve verificar a tag de autenticação antes de processar a mensagem do cliente \
**RF4** - Para efeitos de modularidade e para que a lógica de encriptação não esteja contida nos ficheiros de cliente e servidor deve-se criar um ficheiro à parte com as funções de encriptação \
**RF5** - O servidor fica à escuta de conexões do cliente \
**RF6** - O servidor deve ser capaz de receber mensagens criptografadas \
**RF7** - O servidor deve guardar as conexões com cada utilizador guardando e alterando informação relevante para que as novas mensagens enviadas nunca sejam iguais no processo de comunicação \
**RF8** - O cliente quando inicializa fica à escuta para receber parâmetros relevantes para a definição da chave e do nonce \
**RF9** - O cliente envia mensagens cifradas dado o protocolo de cifragem \
**RF10** - O cliente quando envia a sua mensagem encriptada deve mandar também a tag de autenticação \
**RF11** - Após envio de mensagem o cliente deve atualizar os parâmetros relevantes (de maneira igual ao servidor) para obter imunidade contra ataques de replicação \
**RF12** - Os nonce's e chaves de cifra dos clientes são definidos por KDF 

Neste documento iremos mostrar como é que foram satisfeitos todos os requisitos funcionais estabelecidos explicando pretinentemente o raciocínio por de trás da implementação.

## **RF1** -  Deve haver uma lógica de cifração de mensagens através da cifra AEAD com hash SHAKE-256 em modo XOFHash

Para satisfazer este requisito funcional o grupo decidiu seguir o plano de implementação definido no capítulo 1 "Primitivas Criptográficas Básicas" mais concretamente na secção **Cifra AEAD usando o modelo "sponge"**.

Começamos por definir o estado inicial da função concatenando o vetor inicial (nonce) com a chave de cifração (dada por *input* do cliente e do servidor), assim como a função de Hash, neste caso **SHAKE256**, uma função de hash baseada na família SHA-3 de output extensível (XOFHash), neste caso de output de 256 bits fixo. Esta função de hash é derivada de uma das famílias de hash mais seguras atualmente como podemos observar nesta tabela de tempos de vida de hashes criptográficos populares:

(fonte : https://valerieaurora.org/hash.html)

![Lifetimes of popular cryptographic hashes (the rainbow chart)](HashesLifetime.png)

**Passo 1:** Definição de estado inicial aplicando a função de hash

In [1]:
import os
from cryptography.hazmat.primitives import hashes

#Input aleatório de ambos os parâmetros (o input real do programa é dado de maneira diferente)
key = os.urandom(32)
nonce = os.urandom(16)


iv_key = nonce + key   
shake = hashes.Hash(hashes.SHAKE256(64))

shake.update(iv_key)

**Passo 2:** Absorver os dados associados 

In [2]:
#Exemplo de dados associados
associated_data = b'Isto sao dados associados que precisam ser processados em blocos.'
block_size = 16
for i in range(0, len(associated_data), block_size):
    shake.update(associated_data[i:i + block_size])

**Passo 3:** Processar a mensagem e fazer squeeze do ciphertext

In [3]:
#Exemplo de plaintext
plaintext = b"Ola servidor! Espero que esta mensagem esteja encriptada!"

ciphertext = b""
for i in range(0, len(plaintext), block_size):
    block = plaintext[i:i + block_size]
    keystream = shake.copy().finalize()[:len(block)]
    ciphertext += bytes(a ^ b for a, b in zip(block, keystream))
    print(f"[CLIENTE] Absorvendo bloco: {block.hex()}")
    print(f"(Bloco original: ",block, ")")
    shake.update(block)

[CLIENTE] Absorvendo bloco: 4f6c61207365727669646f7221204573
(Bloco original:  b'Ola servidor! Es' )
[CLIENTE] Absorvendo bloco: 7065726f207175652065737461206d65
(Bloco original:  b'pero que esta me' )
[CLIENTE] Absorvendo bloco: 6e736167656d20657374656a6120656e
(Bloco original:  b'nsagem esteja en' )
[CLIENTE] Absorvendo bloco: 637269707461646121
(Bloco original:  b'criptada!' )


**Passo 4:** Finalizar e gerar a tag de autenticação

In [4]:
    #Passo 4: Finaliza e gera a Tag
    state = shake.copy().finalize()[:block_size]

    # XOR com K
    state = bytes(a ^ b for a, b in zip(state, key))
    # Aplica hash com esse novo estado
    shake.update(state)
    # Aplica um segundo XOR com K
    state = bytes(a ^ b for a, b in zip(state, key))

    # Finaliza tag
    tag = shake.finalize()[:block_size]

    print ("ciphertext: ",ciphertext)
    print ("tag: ",tag)

ciphertext:  b"\xec\x02\xd6\xb5\x88@i\xc6\x1eS\xfeO\xe5\xe9|\xf4\xe5\x8e\x00\xc4>O\xc2QG\xe6'\x9a\x8d\xe3\x0f\xef\xf5L\xa2\xec\xc5\xec\x8fo\xfdJX\xb3\xc6\xed\xad\x92\xe4%\xcf\xcf\x07c)\xb0\xb0"
tag:  b'\x93\x80k\x89\xe6\xcc9\x07>\xc0\x9d\xd0\xcad\xc5V'


## **RF2** - Deve haver uma lógica de decifração de mensagens através da cifra AEAD com hash SHAKE-256 em modo XOFHash

c

In [None]:
    iv_key = nonce + key
    shake = hashes.Hash(hashes.SHAKE256(64))
    
    # Passo 1: Iniciar com IV || Key e aplicar o shake
    shake.update(iv_key)

    # Passo 2: Absorver os dados associados 
    for i in range(0, len(associated_data), block_size):
        shake.update(associated_data[i:i + block_size])

    # Passo 3: Processar o ciphertext e recuperar o plaintext
    plaintext = b""
    for i in range(0, len(ciphertext), block_size):
        block = ciphertext[i:i + block_size]
        keystream = shake.copy().finalize()[:len(block)]
        plaintext += bytes(a ^ b for a, b in zip(block, keystream))
        #print(f"[SERVIDOR] Absorvendo bloco: {block.hex()}")
        #shake.update(block)  # Continua absorvendo
        shake.update(plaintext[i:i + block_size])  # Absorver o plaintext correto

    # Passo 4: Recalcular a Tag para verificar a integridade
    state = shake.copy().finalize()[:block_size]  # Obtém estado interno atual

    #print(f"[SERVIDOR] Estado após primeiro XOR: {state.hex()}")

    # XOR com K
    state = bytes(a ^ b for a, b in zip(state, key))
    # Faz update com esse novo estado
    shake.update(state)
    # Aplica um segundo XOR com K
    state = bytes(a ^ b for a, b in zip(state, key))
    
    # Finaliza e gera a tag para verificação
    #print(f"[SERVIDOR] Estado final antes da tag: {shake.copy().finalize().hex()}")

    computed_tag = shake.finalize()[:block_size]

## **RF3** - O servidor deve verificar a tag de autenticação antes de processar a mensagem do cliente

Após desencriptação (e devide encriptação) a tag final gerada deve corresponder à tag recebida pelo servidor do cliente

In [None]:
if computed_tag != tag:
    raise ValueError("Autenticação falhou! O ciphertext foi alterado ou a chave está errada.")

## **RF4** -  Para efeitos de modularidade e para que a lógica de encriptação não esteja contida nos ficheiros de cliente e servidor deve-se criar um ficheiro à parte com as funções de encriptação

Como é possível comprovar a pasta contém um ficheiro **crypto_utils** onde está contida toda a lógica de cifração.

O grupo 7 decidiu manter a encriptação num módulo à parte evitando que lógicas sensíveis fiquem expostas ou misturadas com código de rede, reduzindo a possibilidade de vulnerabilidades. Para além disso o código de servidor e cliente fica mais legível e há uma maior reutilização de código se necessário no futuro.

## **RF5** - O servidor fica à escuta de conexões do cliente

Para satisfazer este requisito utilizamos a biblioteca `asyncio` para definir uma função que irá ficar à escuta no IP local da máquina na porta 8888 até que o processo seja morto.  

In [2]:
async def start_server(self):
    server = await asyncio.start_server(self.handle_client, '127.0.0.1', 8888)
    async with server:
        await server.serve_forever() 

## **RF6** - O servidor deve ser capaz de receber mensagens criptografadas

A lógica de receção de mensagens é se o servidor não estiver no "`End of file`", ou seja, até nós não matarmos o processo. Dado o nosso protocolo queremos ler os primeiros 4 bytes para definição do `ID` de um novo cliente. 

Para não estarmos sujeitos a ficar bloquados no `await` criámos certas exceções para tratar de tal ocasião:

In [None]:
async def receive_messages_example(reader):
    try:
        while not reader.at_eof():
            id_bytes = await asyncio.wait_for(reader.readexactly(4), timeout=5)
            print("######## MENSAGEM RECEBIDA ########")
    except asyncio.TimeoutError:
        print("Nenhuma mensagem recebida dentro do tempo limite.")
    except asyncio.IncompleteReadError:
        print("Conexão fechada antes de receber os 4 bytes esperados.")

(Código em `Server.py`: linhas )

## **RF8** - O servidor deve guardar as conexões com cada utilizador guardando e alterando informação relevante para que as novas mensagens enviadas nunca sejam iguais no processo de comunicação 

Foi utilizada uma função de chave derivada (KDF) fazendo uso da primitiva `HKDF` que como algoritmo de hash utiliza o `SHAKE-256`:

In [5]:
derived_bytes = hkdf_sha256(salt, self.server_key)

NameError: name 'hkdf_sha256' is not defined

In [None]:
self.clients[int(client_id)] = {
    "writer": writer,
    "cypher_key": derived_bytes[:32], # 32 bytes para a chave -> 256 bits
    "nonce": derived_bytes[32:], # 12 bytes para o nonce -> 96 bits
    "messageCounter": 0
}

Após envio de uma mensagem de um cliente a lógica implementada para que as próximas mensagens não tenham um criptograma igual é a seguinte (tanto para cliente e servidor): 

In [None]:
self.clients[int(client_id)]['messageCounter'] += 1

In [None]:
salt = b"salt_clientid_" + str(client_id).encode() + b"_messageid_" + str(self.clients[int(client_id)]['messageCounter']).encode()
                writer.write(salt + b"\n")  # Envia o salt para o cliente
                await writer.drain()
                derived_bytes = hkdf_sha256(salt, self.server_key)
                self.clients[int(client_id)] = {
                    "writer": writer,
                    "cypher_key": derived_bytes[:32], # 32 bytes para a chave -> 256 bits
                    "nonce": derived_bytes[32:], # 12 bytes para o nonce -> 96 bits
                    "messageCounter": self.clients[int(client_id)]['messageCounter']
                }

## **RF9** - O cliente quando inicializa fica à escuta para receber parâmetros relevantes para a definição da chave e do nonce 

Definido no `Client.py` temos toda a lógica de conexão com o servidor:

In [None]:
        reader, writer = await asyncio.open_connection('127.0.0.1', 8888)

        # Recebe o client_id
        client_id = await reader.readline()
        client_id = client_id.decode().strip()
        print(f"Cliente ID recebido: {client_id}")

        # Recebe o salt
        salt = await reader.readline()
        salt = salt.strip()  # Remove o '\n'
        print(f"Salt recebido: {salt.decode()}")

        # Deriva a chave e nonce com HKDF
        derived_bytes = hkdf_sha256(salt, self.client_key)

        self.cypher_key = derived_bytes[:32] # 32 bytes para a chave -> 256 bits
        self.client_nonce = derived_bytes[32:] # 12 bytes para o nonce -> 96 bits
        print(f"Chave da cifra: {self.cypher_key.hex()}")
        print(f"Nonce do cliente: {self.client_nonce.hex()}")

Nomeadamente temos sequencialmente: \
     - Conexão com o servidor; \
     - Receção de informação do seu número de identificação; \
     - Receção de dados relevantes para definição de `chave de cifra` e de `nonce`. \
Após estes passsos o cliente fica apto para enviar mensagens de forma segura para o servidor.

## **RF10** - O cliente envia mensagens cifradas dado o protocolo de cifragem

In [None]:
        try:
            while True:
                message = await asyncio.get_event_loop().run_in_executor(None, input, "Digite a sua mensagem: ")
                if message.lower() == "sair":
                    break 

                chipher_message, tag = sponge_aead_encrypt(self.cypher_key,self.client_nonce,message.encode())
                print(f"Mensagem cifrada: {chipher_message.hex()}")
                print(f"Tag: {tag.hex()}")

                client_id_bytes = str(client_id).encode().ljust(4, b' ')  # Garantir 4 bytes fixos para o ID

                # Criar o pacote final: ID (4 bytes) + mensagem cifrada + tag (16 bytes)
                packet = client_id_bytes + chipher_message + tag

                writer.write(packet)
                await writer.drain()
                print("Mensagem enviada!")
                ... 

## **RF11** - O cliente quando envia a sua mensagem encriptada deve mandar também a tag de autenticação

Dado no requisito funcional anterior, nomeadamente em:

In [None]:
...
    packet = client_id_bytes + chipher_message + tag

    writer.write(packet)
    await writer.drain()
    print("Mensagem enviada!")
...

Ou seja, o cliente lança para o servidor uma mensagem de corpo:
 - ID do cliente || mensagem cifrada || tag

(Onde || é a função usual de concatenação)

## **RF12** - Após envio de mensagem o cliente deve atualizar os parâmetros relevantes (de maneira igual ao servidor) para obter imunidade contra ataques de replicação

O parâmetro `salt` é recebido do servidor tanto como garantia que a mensagem foi recebida como para definir novos valores para a chave de `cifra` e o `nonce`, tentando ao máximo não ser previsível.

In [None]:
    ...
    salt = await reader.readline()
    salt = salt.strip()  # Remove o '\n'
    print(f"Salt recebido: {salt.decode()}")
    derived_bytes = hkdf_sha256(salt, self.client_key)
    self.cypher_key = derived_bytes[:32] # 32 bytes para a chave -> 256 bits
    self.client_nonce = derived_bytes[32:] # 12 bytes para o nonce -> 96 bits
    print(f"Chave da cifra: {self.cypher_key.hex()}")
    print(f"Nonce do cliente: {self.client_nonce.hex()}")

## **RF13** - Os nonce's e chaves de cifra dos clientes são definidos por KDF 

Através da primitva definida `hkdf_sha256` no ficheiro de `crypto_utils.py`:

In [None]:
def hkdf_sha256(salt: bytes, key: bytes) -> bytes:
    hkdf = HKDF(
        algorithm=hashes.SHA256(),
        length=44, # 32 bytes para a chave e 12 bytes para o nonce
        salt=salt, #Randomizes the KDF’s output.
        info=b'',
    )
    derived_bytes = hkdf.derive(key.encode())
    return derived_bytes

Conseguimos definir por KDF, a `chave de cifra` (primeiros 32 bytes) e o `nonce` (últimos 12 bytes)

In [None]:
derived_bytes = hkdf_sha256(salt, self.server_key)

self.clients[int(client_id)] = {
            "writer": writer,
            "cypher_key": derived_bytes[:32], # 32 bytes para a chave -> 256 bits
            "nonce": derived_bytes[32:], # 12 bytes para o nonce -> 96 bits
            "messageCounter": 0
        }

Que irão ser armazenados no servidor como informação relevante da conexão com o cliente