### Q1. Weak Security
#### Question P1.
Resolvido no ficheiro q1.py

#### Question P2.
Supondo:
- Que o processador tem uma frequência de 2.21 Ghz. O que equivale a 2,21 bilhoẽs de instruções por segundo.
    - Logo, podemos aproximar este valor de $\frac{2^{32}}{2} \approx$ 2,21 bilhões
- 3 horas = 10800 segundos = $2^{4}*3^{2}*5$ segundos

Com isto, podemos deduzir que, o número de instruções máximo que o computador vai executar num espaço de 3 horas é:
$$
NúmeroInstruções \approx \frac{2^{32}}{2} * 2^{4}*3^{2}*5 
$$
$$
NúmeroInstruções \approx 2^{35}*3^{2}*5
$$
$$
NúmeroInstruções \approx 2^{35}*45
$$
Sendo que $2^{5} \leq 45 \leq 2^{6}$, para facilitar os calculos, vamos aproximar o valor de 45 para $2^{6}$. Logo:
$$
NúmeroInstruções \approx 2^{35}*2^{6} \approx 2^{41}
$$
No pior dos casos, terá que executar aproximadamente $2^{41}$ instruções, ou seja, a chave terá que ser superior a 41 bits. Sendo que:
$$
2^{5} \leq 41 \leq 2^{6}
$$
Então o offset tem que ser de 6 bytes para que o atacante demore aproximadamente 3 horas até descobrir a chave.

### Q2. Fixed Initialization Vectors
Uma vez que o vetor de inicialização está fixo, podemos tentar fazer um ataque de brute-force de modo a tentar adivinhar a chave.
Para este caso, temos um adversário que vai escolher 2 mensagens com o mesmo tamanho, e vai fornecê-las ao challenger.
O challenger gera uma chave, para cifrar o conteúdo e um bit que indica a mensagem que escolheu.  
De seguida, o challenger, encripta uma das mensagens, e fornece o ciphertext juntamente com o vetor de inicialização ao adversário.

Visto que o vetor de inicialização é fixo e a chave é sempre a mesma $k$, como sabemos as duas mensagens e temos apenas um ciphertext, a forma de decidir qual foi a mensagem escolhida é fazendo um ataque de brute-force para descobrir a chave usada. Descobrindo a chave, também se descobre o plaintext que o challenger selecionou no inicio do desafio.

Tal ataque é possivel pois o vetor de inicialização, IV, é sempre o mesmo. É este vetor que tem como objetivo adicionar aleatoriariedade aos ciphertexts gerados. Como não temos essa aleatoriedade, conseguimos descobrir a chave. 

### Q3. Predictable Initialization Vectors
#### Question - P1
IV é determinístico. Um adversário que controla nonces pode provocar correlações entre IVs e blocos cifrados de várias consultas. Essas correlações permitem distinguir qual das duas mensagens do desafio IND-CPA foi cifrada, logo, o esquema não é nonce-IND-CPA seguro.

No CBC o primeiro bloco cifrado é $C1 = E_k(M1 \oplus IV)$. Se o adversário, conseguir:
1. Pedir a encriptação de $0^b$ com $nonce = n1$ e observar $C1 = E_k(IV1)$ (porque $M1 = 0$),
2. Depois pedir um desafio com $nonce = IV1$ e escolher $m0$ de modo que $E_k(m0 \oplus IV_challenge) = C1$, então, ao ver o ciphertext do desafio, posso testar se o primeiro bloco coincide com o bloco que já tinha observado. Se coincidir, sei qual mensagem foi escolhida. Em suma: por ser $IV = E_k(n)$, consigo forjar inputs que fazem aparecer blocos previamente vistos, logo, isto quebra indistinguibilidade.

Conclusão:
O esquema é inseguro. Um adversário que escolha nonces pode distingui-lo, logo não satisfaz nonce-IND-CPA.

In [39]:
import os, binascii, random

def xor(a,b): return bytes(x^y for x,y in zip(a,b))
def hexb(b): return binascii.hexlify(b).decode()

# esquema: E_k(x) = x XOR k
# encriptação CBC de um bloco: IV = E_k(nonce), C1 = E_k(IV XOR M)
# com E_k(x)=x^k isso dá C1 = nonce XOR M

BLOCK = 4  # bytes (pequeno para demo)
key = os.urandom(BLOCK)

def encrypt_single_block(nonce, message):
    # implementação direta do esquema descrito
    # (faz exatamente: C1 = E_k(E_k(nonce) XOR M) mas simplifica para nonce XOR M)
    # mostramos a forma explícita para deixar claro:
    iv = bytes(x^y for x,y in zip(nonce, key))            # IV = E_k(nonce)
    t  = bytes(x^y for x,y in zip(iv, message))          # IV XOR M
    c1 = bytes(x^y for x,y in zip(t, key))               # E_k(IV XOR M)
    return c1

# adversário:
m0 = bytes([0]*BLOCK)                       # 0^l
m1 = bytes([1] + [0]*(BLOCK-1))             # diferente
challenge_nonce = bytes([0]*BLOCK)          # nonce = 0^l (dica)

# challenger escolhe b aleatório e retorna ct = Enc(nonce, m_b)
b = random.randrange(2)
mb = m0 if b==0 else m1
ct = encrypt_single_block(challenge_nonce, mb)

# adversário simplesmente compara ct com m0/m1 (no caso ct == mb)
print("block size:", BLOCK, "bytes")
print("key (hex):", hexb(key))
print("m0:", hexb(m0))
print("m1:", hexb(m1))
print("challenge nonce:", hexb(challenge_nonce))
print("challenge ciphertext:", hexb(ct))
# distinguir:
if ct == m0:
    guess = 0
elif ct == m1:
    guess = 1
else:
    guess = random.randrange(2)

print("real b:", b, "adversary guess:", guess, "success:", guess==b)


block size: 4 bytes
key (hex): cc200e66
m0: 00000000
m1: 01000000
challenge nonce: 00000000
challenge ciphertext: 00010101
real b: 1 adversary guess: 0 success: False


### Q4: Padding Attacks

#### Question - P1:
PKCS#7 especifica que sempre se adiciona padding. Se a mensagem já tem comprimento multiplo de $b$, adiciona-se um bloco inteiro de padding.
As razões são:
- Remove ambiguidade : Ao decifrar, o receptor olha para o último byte e remove esse número de bytes. Se não fosse sempre adicionado, não haveria forma de distinguir um último byte legítimo igual a 0x01 de um byte de padding.
- Simplicidade : A rotina de unpadding é sempre a mesma, ou seja, ler o último byte $v$ e remover $v$ bytes.
- Compatibilidade : Muitas implementações assumem padding presente; não adicioná-lo quando o comprimento já é múltiplo introduz inconsistências.

#### Question - P2:
##### **Baseado no livro Serious Cryptography, página 74**
Os ataques de tipo padding oracle registam quais as entradas que têm preenchimento válido e quais não têm, e exploram essa informação para decifrar valores de texto cifrado escolhidos.

Considerando que $C1$ e $C2$ são blocos de texto cifrado e que, $C1$ foi cifrado primeiro que $C2$, e supondo que se pretende decifrar o bloco de texto cifrado $C2$. Chamemos $X$ ao valor que procura, ou seja, $D(K, C2)$, e $P2$ ao bloco obtido após a desencriptação em modo CBC. Se escolher um bloco aleatório $C1$ e enviar o texto cifrado de dois blocos $C1 || C2$ ao oracle, a desencriptação só terá sucesso se $C1 \oplus P2 = X$ terminar com um preenchimento válido — um único byte 01, dois bytes 02, três bytes 03, e assim sucessivamente.

Com base nesta observação, os ataques padding oracle sobre encriptação CBC podem decifrar um bloco $C2$ da seguinte forma (os bytes são representados em notação de array: $C1[0]$ é o primeiro byte de C1, $C1[1]$ o segundo, e assim até $C1[15]$, o último):

1. Escolha um bloco aleatório $C1$ e altere o seu último byte até que o oracle de preenchimento aceite o texto cifrado como válido. Normalmente, num texto cifrado válido, $C1[15] \oplus X[15] = 01$, pelo que encontrará $X[15]$ após testar cerca de 128 valores de $C1[15]$.
2. Encontre o valor $X[14]$ definindo $C1[15]$ para $X[15] \oplus 02$ e procurando o valor de $C1[14]$ que produza um preenchimento correcto. Quando o oracle aceitar o texto cifrado como válido, significa que encontrou $C1[14]$ tal que $C1[14] \oplus X[14] = 02$.
3. Repita os passos 1 e 2 para os 16 bytes.

In [7]:
# Nota para estudo:
#Contra-medidas para evitar padding attacks:
#  - Não devolver mensagens de erro diferentes (ou usar respostas/tempos constantes).
#  - Usar autenticação de mensagem (MAC) e verificar integridade antes de fazer unpadding (por exemplo encrypt-then-MAC).
#  - Usar modos AEAD (por ex. AES-GCM).