In [3]:
%display latex

# TP arithmétique et cryptographie

Durant cette séance nous nous intéressons à faire des calculs dans des structures mathématiques classiques qui sont d'une grande importance dans les applications en cryptographie.

## Introduction

Tout d'abord nous allons revenir sur la notion de calcul, et plus particulièrement sur la notion de certains *domaines de calcul*. En effet, dans SageMath nous pouvons calculer avec des entiers ou des nombres rationnels assez facilement à partir d'expression mathématiques.


In [4]:
2+2 # calcul avec des entiers

In [5]:
2/3+5/7 # calcul avec des nombres rationnels

En fait, la notion de calcul sur les entiers ou les rationnels est associé à la notion de *structure mathématique* $\mathbb Z$ et $\mathbb{Q}$ pour lesquels les opérations telles que l'addition et la multiplication sont *bien définies*. Par *bien définie*, on entend que l'opération est calculable et que le résultat reste dans le même ensemble de valeurs que celui des entrées : pour $\star\in\{+,\times\}$,
- $\forall x,y \in \mathbb{Z} \longrightarrow (x\star y)\in\mathbb{Z}$, et 
- $\forall x,y \in \mathbb{Q} \longrightarrow (x \star y)\in\mathbb{Q}$

Dans SageMath, les structures $\mathbb Z$ et $\mathbb Q$ sont nommées `ZZ` et `QQ`. Par exemple `QQ(3)` construit le *rationnel* $3$ alors que `ZZ(3)` construit l'entier $3$.

### Question
Vérifier au travers d'exemples que les résultats des opérations `+` et `*` sur les rationnels sont bien des rationnels. *Essayer de deviner la réponse aux questions qui suivent, puis vérifier avec l'instruction `type(...)` qui fournit le type de son argument.*
- Quels sont les types de retour de `ZZ(3)+ZZ(5)` et `QQ(3)+QQ(5)`.
- Quelle est la valeur de $\frac{6}{5}\times\frac{35}{3}$ ? Et son type de retour ?
- Que se passe-t-il si on tape `ZZ(4) * QQ(6)` ?

In [6]:
type(ZZ(3)+ZZ(5)) ### Entier

In [7]:
type((6/5)*(35/3)) ### Rationnel

In [8]:
type(ZZ(4)*QQ(6)) ### Rationnel, car ZZ est inclus dans QQ

## Opérations modulaires

<!-- On peut facilement définir la notion d'inverse pour l'addition et la multiplication à partir d'un élément neutre.

- En effet, 0 étant neutre pour l'addition $(x+0= 0+x = x$),  l'inverse de l'addition est définie comme l'opération qui donne 0 par l'addition de x et de son inverse. Cela donne $ x + \mathsf{inv}_+(x) = 0 \longrightarrow \mathsf{inv}_+(x)= -x$. On voit facilement que l'inverse de l'addition est bien définie pour $\mathbb{Q}$ et $\mathbb{Z}$: $\forall x \in \mathbb{Q,Z} \longrightarrow -x \in \mathbb{Q,Z}$


- Cela marche pareil pour définir la multiplication en remarquant que 1 est le neutre pour la multiplication. Cela donne $ x * \mathsf{inv}_*(x) = 1 \longrightarrow \mathsf{inv}_*(x)= 1/x$. Malheureuresement, on peut voir que cette inverse n'est pas bien définie pour tout  $x \in \mathbb{Q,Z}$. En effet, dans $\mathbb{Z}$ seul 1 et -1 sont inversibles alors que pour $\mathbb{Q}$ tout les éléments sauf zero sont inversibles.



C'est à partir de cette notion d'inverse que l'on peut définir les opérations de soustraction et de division.
- la soustraction est la composition de l'addition et de son inverse: $x-y = x + (-y)$
- la division est la composition de la multiplication et de son inverse: $x/y = x * (1/y)$


Pour retrouver des propriétés d'inversibilité pour les entiers similaires à celles des nombres rationnels de $ \mathbb{Q}$ (tous les éléments hormis 0 ont un inverse.), il faut se ramener à des sous-ensemble des entiers.

-->


En cryptographie, on a besoin de travailler avec des ensembles *finis* de nombres. Pour cela, on utilise l'opération *modulo*. L'ensemble des entiers *modulo* $N$ est l'ensemble des entiers entre $0$ et $N-1$, et les opérations d'addition et de multiplication se font *modulo* $N$. <!--Le sous-ensemble des entiers à $N$ élements peut être identifié par la classe des entiers modulo $N$, câd l'ensemble des entiers compris entre $0$ et $N-1$. Pour--> Concrètement, pour calculer dans cet ensemble il suffit de faire le calcul dans $\mathbb{Z}$ et de réduire le résultat *modulo* $N$ (prendre le reste de la division par $N$).

Avec ce mode de calcul les opérations  $+$ et $\times$ sont bien définies : pour $\star\in\{+,\times\}$,
$$\forall x,y \in\{0,1,\dots, N-1\} \longrightarrow (x\star y) \bmod N \in \{0,1,\dots, N-1\}$$

<!--- l'inverse de l'addition étant définie par $\mathsf{inv}_+(x) = N-x \bmod N$, cette opération est bien définie on a que $x-y=x+N-y \bmod N$  est bien un entier compris entre 0 et N-1.

Nous reviendrons un peu plus loin sur l'inverse de la multiplication.-->

Dans les questions qui suivent, on s'intéressent aux tables d'addition et de multiplication des entiers *modulo* $N$.

### Question  
Donner la table d'addition <!--et de soustraction--> de l'ensemble $\{0,1,2,3,4\}$ des entiers *modulo* $5$ : représenter la table par une matrice `Ma5` telle que $Ma5[i,j]= i+j \bmod 5$<!--et $Mb5[i,j]= i+5-j \bmod 5$-->.  *L'instruction `Matrix(n,n)` permet de construire une matrice de taille $n \times n$.*

In [9]:
Ma5 = matrix(5,5)
for i in range(0,5):
    for j in range(0,5):
        Ma5[i,j] = (i + j) % 5
Ma5

Pour effectuer des additions dans l'ensemble des entiers modulo 5, on peut utiliser cette matrice. <!-- qui donnent les tables d'addition et de sopustraction des entiers modulo 5.-->
Par exemple, taper `Ma5[2,3]` pour obtenir $2+3 \bmod 5$. <!--  et Ms5[2,3] pour obtenir $2-3 \bmod 5$.-->

In [10]:
Ma5[2,3]

### Question 
Construire la matrice `Mp5` de multiplication des entiers modulo $5$ et utiliser cette matrice pour calculer $3^{98} \bmod 5$. *Vérifier votre résultat en comparant avec l'instruction `pow(3,n,5)`.* 

In [11]:
Mp5 = matrix(5,5)
for i in range(0,5):
    for j in range(0,5):
        Mp5[i,j] = (i * j) % 5
Mp5

In [12]:
show(Mp5[3,3]^97 % 5)
show(pow(3,98,5))

### Question

On a vu que le domaine des entiers de $\mathbb{Z}$ se nomme `ZZ` dans SageMath. <!-- et x=ZZ(13) définit x comme l'entier 13 dans $\mathbb{Z}$.--> De manière similaire, SageMath définit l'objet représentant l'ensemble des entiers *modulo* $N$ par `Integers(N)` pour un entier `N` donné. Mathématiquement, cet ensemble est noté $\mathbb Z/N\mathbb Z$.

Par exemple, `A=Integers(50)` définit la structure mathématique correspondant aux entiers *modulo* $50$. Pour construire un élément de cette ensemble, il suffit de lui passer en paramètre un entier :
- `A(10)` construit l'entier $10$ dans cet ensemble, càd $10 \bmod 50 \rightarrow 10$ ;
- `A(57)` construit l'entier $57$ dans cet ensemble, càd $57 \bmod 50 \rightarrow 7$.

**Dans toute la suite, on travaillera avec des éléments de `Integers(N)` pour différentes valeurs de $N$ : on ne devra donc plus utiliser le *modulo* (symbole `%`) car les opérations sont automatiquement faites *modulo* $N$ dans `Integers(N)`.

**À vous de jouer :** 
- Définissez la variable `I10` définissant l'ensemble des entiers *modulo* $10$ et faite le calcul de $7\times 5$ dans cet ensemble. 
- En utilisant la méthode `random_element()` de `I10`, calculer et afficher la somme et le produit de deux élements de `I10` choisis aléatoirement. 
- Refaites le calcul de $3^{98} \bmod 5$ en utilisant la classe des entiers *modulo* $5$ de SageMath.

In [13]:
I10 = Integers(10)
I10(7)*I10(5)

In [14]:
I10.random_element()*I10.random_element()

In [15]:
I5 = Integers(5)
I5(3^98)

### Question

Définir deux fonctions `genMatrixAdd` et `genMatrixMul` qui prennent en paramètre un entier $N$ et qui calculent la matrice correspondant à la table d'addition et de multiplication des entiers *modulo* $N$. Remarque : on souhaite que les matrices contiennent des éléments de `Integers(N)`. *Vérifiez que vos fonctions sont correctes (vous pouvez comparez le résultat avec les matrices `Ma5` et `Mp5` définies précédemment).*

In [16]:
def genMatrixAdd(N):
    ZN = Integers(N)
    A = matrix(ZN,N,N)
    for i in range(ZN.cardinality()):
        for j in range(ZN.cardinality()):
            A[i,j] = ZN(i) + ZN(j)
    return A

In [17]:
show(genMatrixAdd(5))
show(Ma5)

In [18]:
def genMatrixMul(N):
    ZN = Integers(N)
    A = matrix(ZN,N,N)
    for i in range(ZN.cardinality()):
        for j in range(ZN.cardinality()):
            A[i,j] = ZN(i) * ZN(j)
    return A

In [19]:
show(genMatrixMul(5))
show(Mp5)

## Inverses

On peut facilement définir la notion d'inverse pour l'addition et la multiplication à partir d'un *élément neutre*, c'est-à-dire un élément $e$ tel que $\forall x, x\star e = e\star x = x$. Ainsi, $0$ est l'élément neutre de l'addition et $1$ celui de la multiplication (que ce soit dans $\mathbb Z$, $\mathbb Q$ ou $\mathbb Z/N\mathbb Z$).

- L'*inverse pour l'addition* d'un élément $x$ est l'élément $\mathsf{inv}_+(x)$ tel que $ x + \mathsf{inv}_+(x) = 0$. On voit donc que $\mathsf{inv}_+(x)= -x$ : l'inverse pour l'addition est donc ce qu'on nomme habituellement l'opposé d'un nombre, et est bien définie pour $\mathbb{Q}$ et $\mathbb{Z}$ : $\forall x \in \mathbb{Q,Z} \longrightarrow -x \in \mathbb{Q,Z}$

- De la même façon, l'*inverse pour la multiplication* se définit à partir du neutre $1$ pour la multiplication :  $\mathsf{inv}_*(x)$ est défini par $ x * \mathsf{inv}_*(x) = 1$, c'est-à-dire $\mathsf{inv}_*(x)= 1/x$. L'inverse pour la multiplication est donc ce qu'on nomme habituellement l'inverse d'un nombre. On remarque donc que tout élément non nul de $\mathbb Q$ admet un inverse (on dit qu'un tel élément est *inversible*). Mais dans $\mathbb Z$, seuls $1$ et $-1$ sont inversibles.

Remarque : comme tout entier peut être vu comme un nombre rationnel (en symboles, $\mathbb Z\subseteq\mathbb Q$), si on cherche à calculer l'inverse d'un nombre entier $n$, SageMath le considèrera comme un rationnel et renverra le rationnel $1/n$.

### Question
Que se passe-t-il quand on veut inverser l'entier $0$ ?

In [20]:
### On obtiendra une division par 0, ce qui n'est pas possible
A = ZZ(0)
B = ZZ(1)

In [21]:
#A.inverse_of_unit()
#B.inverse_of_unit()

<!-- À partir des notions d'inverse pour l'addition et la multiplication, on peut définir les opérations de soustraction et de division :
- la soustraction est la composition de l'addition et de son inverse: $x-y = x + (-y)$ ;
- la division est la composition de la multiplication et de son inverse: $x/y = x \times (1/y)$.

De même que pour l'inversion, la division n'est bien définie que pour les rationnels.

Pour retrouver des propriétés d'inversibilité pour les entiers similaires à celles des nombres rationnels de $ \mathbb{Q}$ (tous les éléments sauf 0 ont un inverse), il faut se ramener à des sous-ensemble des entiers.-->

On va voir que lorsqu'on travaille avec des entiers *modulo* $N$, on retrouve l'inversibilité, au moins partiellement, dont on dipose avec les rationnels.
La notion d'inverse pour l'addition ou la multiplication peut se voir directement sur les matrices représentant les tables des opérations :
- un élément $x$ est inversible pour l'addition si et seulement s'il y a un unique $0$ dans la ligne et la colonne d'indice $x$ ;
- un élément $x$ est inversible pour la multiplication si et seulement s'il y  a un unique $1$ dans la ligne et la colonne d'indice $x$.

### Question
En utilisant les matrices associées à l'addition et la multiplication des entiers *modulo* $5$, donner la liste des éléments inversibles pour l'addition, et celle des éléments inversibles pour la multiplication. *Attention à bien avoir une liste d'éléments de `Integers(N)` et pas d'entiers (vérifier avec `type(...)`).*

In [22]:
LA = list()
N = Integers(5)
for i in N:
    if(list(Ma5[i]).count(0) == 1 and list(Ma5[:,i]).count(0) == 1):
        LA.append(i)
show(LA)
for i in LA:
    show(type(i))
    
print("\n")

LM = list()
for i in N:
    if((list(Mp5[i]).count(1) + list(Mp5[:,i]).count(1)) == 1):
        LM.append(i)
show(LM)
for i in LM:
    show(type(i))





### Question
Définissez les fonctions `inv_add` et `inv_mul` qui prennent en entrée un entier $N$ et un entier $x\in \{0,\dots,N-1\}$ et qui renvoient l'inverse de $x$ pour l'addition *modulo* $N$ ,et l'inverse de $x$ pour la multiplication *modulo* $N$. *Vos fonction devront construire les tables d'addition et de multiplication modulo $N$ et les utiliser pour le calcul. Si $x$ n'est pas inversible, la fonction renvoie `None`. Encore une fois, attention à bien renvoyer un élément de `Integers(N)` et pas un entier !*

Vous testerez vos fonctions pour  les valeurs de $N=17,12$ et les valeurs de $x=3,0,4$.

In [23]:
def inv_add(N,x):
    MA = genMatrixAdd(N)
    N = Integers(N)
    for j in range(N.cardinality()):
        if(MA[x,j] == 0):
            return j
    return None

In [24]:
def inv_mul(N,x):
    MM = genMatrixMul(N)
    N = Integers(N)
    for j in range(N.cardinality()):
        if(MM[x,j] == 1):
            return j
    return None

In [25]:
show(inv_add(17,3))
show(inv_add(17,0))
show(inv_add(17,4))
show(inv_add(12,3))
show(inv_add(12,0))
show(inv_add(12,4))

print("\n\n")

show(inv_mul(17,3))
show(inv_mul(17,0))
show(inv_mul(17,4))
show(inv_mul(12,3))
show(inv_mul(12,0))
show(inv_mul(12,4))






### Question
Proposer une fonction d'inversion générique `inv_gen` qui prend en paramètre une matrice `M` représentant une opération modulo $N$, un élément neutre `e` et un elément `x` qu'on souhaite inverser. Comme précédemment si $x$ n'est pas inversible la fonction renverra `none`. Attention, votre matrice $M$ doit être définie sur `Integers(N)` de telle sorte que `M.base_ring()` retourne `Integers(N)`.

- Vous verifierez que votre fonction générique est équivalente aux fonctions `inv_add` et `inv_mul` pour tous les entiers modulo 5

In [26]:
def inv_gen(M,e,x):
    N = M.base_ring()
    for j in range(N.cardinality()):
        if(M[x,j] == e):
            return j
    return None

In [27]:
TestAdd = genMatrixAdd(5)
TestMul = genMatrixMul(5)
inv_gen(TestMul,1,4)

### Question
- Écrire deux fonctions `liste_inv_add(N)` et `liste_inv_mul(N)` qui calculent la liste des éléments inversibles pour l'addition et la multiplication *modulo* $N$ (vous utiliserez la fonction `inv_gen` de la question précédente, ainsi que les fonction `genMatrixAdd` et `genMatrixMul`).
- Regarder ce qu'il se passe pour $N=5,10,13,16$.

In [28]:
def liste_inv_add(N):
    res = list()
    M = genMatrixAdd(N)
    for i in range(N):
        if inv_gen(M,0,i) != None:
            res.append(i)
    return res

In [29]:
def liste_inv_mul(N):
    res = list()
    M = genMatrixMul(N)
    for i in range(N):
        if inv_gen(M,1,i) != None:
            res.append(i)
    return res

In [30]:
show(liste_inv_add(5))
show(liste_inv_mul(5))

show(liste_inv_add(10))
show(liste_inv_mul(10))

show(liste_inv_add(13))
show(liste_inv_mul(13))

show(liste_inv_add(16))
show(liste_inv_mul(16))

On remarque que pour toute valeur de $N$, tous les éléments sont inversibles pour l'addition, mais que ce n'est pas le cas pour la division. D'une part $0$ n'est jamais inversible, mais dans certains cas d'autres éléments ne le sont pas non plus.




### Question 
Lister tous les entiers $N$ entre $2$ et $30$ pour lesquels tous les éléments sauf $0$ sont inversibles pour la multiplication *modulo* $N$. Que remarquez-vous ?

In [31]:
for N in range(2,31):
    if (len(liste_inv_mul(N)) == (N - 1)):
        show(N)

## Soustraction, division

À partir des notions d'inverse pour l'addition et la multiplication, on peut définir les opérations de soustraction et de division :
- la soustraction est la composition de l'addition et de son inverse: $x-y = x + \mathsf{inv}_+(y)$ ;
- la division est la composition de la multiplication et de son inverse: $x/y = x \times \mathsf{inv}_\times(y)$.

Un autre point de vue est de se dire que l'inverse pour l'addition est défini par la soustraction $0-y$, alors que l'inverse pour la multiplication est défini par la division $1/y$. Autrement dit, il est équivalent de considérer les opérations $\{+,\times,\mathsf{inv}_+,\mathsf{inv_\times}\}$ ou les opérations $\{+,\times,-,/\}$.

On a vu précédemment que tous les éléments non nuls sont inversibles pour la multiplication *modulo* $N$ si et seulement si $N$ est premier. 

### Question
Calculer les tables de soustraction et de division modulo $5$ à partir des tables d'addition, de multiplication et de la fonction `inv_gen`. *En case $(i,j)$, la table contient le résultat de l'opération $i\star j$ pour $\star\in\{-,/\}$. Pour la division, on pourra mettre un $0$ lorsque la division n'est pas définie (division par zéro).*

In [32]:
Madd5 = genMatrixAdd(5)
Mmul5 = genMatrixMul(5)
Msus5 = matrix(Integers(5),5,5)
Mdiv5 = matrix(Integers(5),5,5)

for i in range(5):
    for j in range(5):
        Msus5[i,j] = i + inv_gen(Madd5,0,j)
show(Msus5)

for i in range(5):
    for j in range(5):
        if(j == 0):
            Mdiv5[i,j] = 0
        else:
            Mdiv5[i,j] = i * inv_gen(Mmul5,1,j)
show(Mdiv5)

### Question

Définir les fonctions `genMatrixSub` et `genMatrixDiv` qui pour un entier $N$ génèrent les matrices correspondant aux tables de soustraction et de division *modulo* $N$. *Vérifier en comparant avec les matrices `Ms5` et `Md5` définies précédemment.*

In [33]:
def genMatrixSub(N):
    Madd = genMatrixAdd(N)
    Msus = matrix(Integers(N),N,N)
    for i in range(N):
        for j in range(N):
            Msus[i,j] = i + inv_gen(Madd,0,j)
    return Msus

In [34]:
show(genMatrixSub(5))

In [35]:
def genMatrixDiv(N):
    Mmul = genMatrixMul(N)
    Mdiv = matrix(Integers(N),N,N)
    for i in range(N):
        for j in range(N):
            if(j == 0):
                Mdiv[i,j] = 0
            if(inv_gen(Mmul,1,j) == None):
                Mdiv[i,j] = 0
            else:
                Mdiv[i,j] = i * inv_gen(Mmul,1,j)
    return Mdiv

In [36]:
show(genMatrixDiv(5))

On a vu que tous les éléments sont inversibles pour l'addition *modulo* $N$. D'autre part, si $N$ est premier, tous les éléments non nuls sont inversibles pour la multiplication. Cela signifie que les quatre opérations $\{+,\times,-,/\}$ sont bien définies : $x\star y\in\{0,\dotsc,N-1\}$ pour tout $x,y\in\{0,\dotsc,N-1\}$ et $\star\in\{+,\times,-,/\}$ (avec la condition $y\neq 0$ si $\star=/$). On peut donc calculer *modulo* un nombre premier comme on calcule avec les nombres rationnels. On dit que les entiers *modulo* un nombre premier forment un *corps*. 

Dans la suite, on va s'intéresser à ce qui se passe pour $N$ non premier. Dans ce cas, on a déjà vu que certains éléments ne sont pas inversibles pour la multiplication.

## Groupe multiplicatif

<!--On a vu que tous les éléments sont inversibles pour l'addition *modulo* $N$. D'autre part, si $N$ est premier, tous les éléments non nuls sont inversible pour la multiplication pour alors les quatre opérations $\{+,\times,-,/\}$ sont bien définies : $x\star y\in\{0,\dotsc,N-1\}$ pour tout $x,y\in\{0,\dotsc,N-1\}$ et $\star\in\{+,\times,-,/\}$ (avec la condition $y\neq 0$ si $\star=/$). Si $N$ n'est pas premier, on a vu que certains éléments non nuls ne sont pas inversibles pour la multiplication, et on ne peut donc pas définir de division sur l'ensemble des entiers *modulo* $N$.



La liste de nombres précédente ne comporte que des nombres premiers. C'est une propriété mathématique importante : si
-->

Quand $N$ est premier, les entiers $\{1,2,\dots,N-1\}$ forment un *groupe* pour la multiplication modulo $N$, c'est-à-dire que ce sous-ensemble $E$ vérifie les deux conditions suivantes :
- pour tout $x,y\in E$, $x\times y\in E$ (*opération interne*) ;
- pour tout $x\in E$, il existe un unique inverse de $x$ dans $E$ pour la multiplication (*inversibilité*).
 
Quand $N$ n'est pas premier, certains éléments ne sont pas inversibles pour la multiplication et $\{1,\dotsc,N-1\}$ n'est pas un groupe. 

On va voir qu'il existe toujours, même pour $N$ non premier, un *groupe* pour la multiplication *modulo* $N$, c'est-à-dire un sous-ensemble $E$ qui vérifie les deux conditions précédentes. 

**Remarque.** On cherche un groupe le plus grand possible. En effet, le sous-ensemble $\{1\}$ forme toujours un groupe pour la multiplication *modulo* $N$, car $1\times 1 = 1$ et $1$ est son propre inverse.


### Question
Écrire une fonction `estInterne(M,E)` qui prend en entrée une table d'opération `M` (une matrice), un sous-ensemble $E$, et teste si l'opération représentée par la matrice `M` est interne au sous-ensemble $E$. *On peut définir la sous-table d'opération restreinte à E avec M[E,E].* 

- Vous testerez votre fonction avec la table de multiplication modulo 5 et l'ensemble d'entiers E={1,2,3,4}.
- Vous verifierez votre fonction avec les tables de multiplication modulo $N$ pour $2 \leq N\leq 31$. Pour le sous-ensemble E, vous utiliserez la fonction `liste_inv_mul(N)`.
- Montrez que si on remplace la table de multiplication par la table d'addition et que l'on prend le même sous-ensemble, l'opération `estIterne` renvoie toujours faux.

In [37]:
def estInterne(M,E):
    N = M.base_ring()
    for i in E:
        for j in E:
            if (M[i,j] not in E):
                return False
    return True

In [38]:
estInterne(Mmul5,[1,2,3,4])

In [39]:
#for i in range(2,31):
    #show(estInterne(genMatrixMul(i),liste_inv_mul(i)))

In [40]:
#for i in range(2,31):
    #show(estInterne(genMatrixAdd(i),liste_inv_mul(i)))

### Question
- Écrire une fonction `estGroupe(Mp, E)` qui prend en entrée une table de *multiplication* `Mp` et vérifie si le sous-ensemble $E$ forme un groupe pour la multiplication, en vérifiant les deux propriétés énoncées au-dessus.
- Pour $N=15$, vérifier que le sous-ensemble $E=\{1,2,4,7,8,11,13,14\}$ forme un groupe pour la multiplication modulo $15$. Afficher les tables de multiplications et de division dans ce groupe.

In [41]:
def estGroupe(Mp,E):
    N  = Mp.base_ring()
    if (not estInterne(Mp,E)):
        return False
    else:
        for i in E:
            if (not i in liste_inv_mul(N.cardinality())):
                return False
    return True

In [42]:
Mmul15 = genMatrixMul(15)
Mdiv15 = genMatrixDiv(15)
show(estGroupe(Mmul15,[1,2,4,7,8,11,13,14]))
show(Mmul15[[1,2,4,7,8,11,13,14],[1,2,4,7,8,11,13,14]])
show(Mdiv15[[1,2,4,7,8,11,13,14],[1,2,4,7,8,11,13,14]])

### Question
- Quelle propriété remarquez-vous sur l'ensemble $\{1,2,4,7,8,11,13,14\}$ par rapport à l'entier 15 ? *Indication : quels sont les entiers manquants ?*
- Appliquer votre propriété pour trouver un sous-ensemble de $\{1,2,3,4,5,6,7,8,9\}$ qui forme un groupe pour la multiplication modulo 10. *Trouver la solution théoriquement, puis vérifier.*

In [43]:
### Tous les multiples des diviseurs de 15 sont absents, autrement dit seulement premiers avec
### 15 sont présents

In [44]:
### [1,3,7,9]
estGroupe(genMatrixMul(10),[1,3,7,9])

### Question
Soit $p=3$ et $q=5$, donner le code qui permet de calculer l'ensemble des entiers compris entre $1$ et $p\times q-1$ qui ne sont ni divisibles par $p$ ni par $q$.

In [45]:
p = ZZ(3)
q = ZZ(5)

for pq in srange(1,p*q):
    if (p not in pq.divisors() and q not in pq.divisors()):
        show(pq)

### Question
Écrire une fonction `nondivPQ(p,q)` qui prend 2 nombres premiers $p$ et $q$ et qui retourne la liste des nombres compris entre 1 et $pq$ et qui ne sont divisibles ni par $p$ ni par $q$.

Vous montrerez que `nondivPQ(p,q)` et `liste_inv_mul(p*q)` renvoient le même résultat pour $p$ et $q$ premiers. Pour cela vous vérifierez que c'est bien le cas pour tous les couples de nombres premiers $(p,q)$ parmi les 10 premiers nombres premiers (il existe une fonction sage pour générer la liste de ces nombres premiers).

In [46]:
def nondivPQ(p,q):
    res = list()
    for pq in srange(1,p*q):
        if (p not in pq.divisors() and q not in pq.divisors()):
            res.append(pq)
    return res

In [47]:
R = True
for p in Primes()[0:10]:
    for q in Primes()[0:10]:
        if (nondivPQ(p,q) != liste_inv_mul(p*q)):
            R = False
            break
R

### Question
Vérifier, à l'aide des fonctions `nondivPQ` et `estGroupe`, que pour tout couple $(p,q)$ de nombres premiers l'ensemble des éléments de `nondivPQ(p,q)` forme un groupe pour la multiplication modulo $N=p\times q$.
- vous testerez dans un premier temps votre fonction avec $p = 5$ et $q = 7$,
- puis vous la testerez pour tout les couples de nombre premiers $(p,q)$ parmi les 10 premiers nombres premiers .

In [48]:
show(estGroupe(genMatrixMul(5*7),nondivPQ(5,7)))

R = True
for p in Primes()[0:6]:
    for q in Primes()[0:6]:
        print((p,q))
        if (not estGroupe(genMatrixMul(p*q),nondivPQ(p,q))):
            R = False
            break
R

(2, 2)
(2, 3)
(2, 5)
(2, 7)
(2, 11)
(2, 13)
(3, 2)
(3, 3)
(3, 5)
(3, 7)
(3, 11)
(3, 13)
(5, 2)
(5, 3)
(5, 5)
(5, 7)
(5, 11)
(5, 13)
(7, 2)
(7, 3)
(7, 5)
(7, 7)
(7, 11)
(7, 13)
(11, 2)
(11, 3)
(11, 5)
(11, 7)
(11, 11)
(11, 13)
(13, 2)
(13, 3)
(13, 5)
(13, 7)
(13, 11)
(13, 13)


### Question 
On va généraliser les questions précédentes à un entier $N$ quelconque, en vérifiant que le sous-ensemble $E$ des entiers qui ne sont multiples d'aucun facteur premier de $N$, forme un groupe pour la multiplication. 

- généraliser `nondivPQ` à un $N$ quelconque pour renvoyer l'ensemble des entiers qui ne sont multiples d'aucun facteur premier de $N$. *La fonction `N.factor()` calcule la factorisation de $N$ en facteurs premiers. Le retour de la fonction est une liste de couples représentant le facteur et son exposant dans la factorisation.*
- proposer une fonction qui vérifie pour un entier $N$ que l'ensemble en question forme bien un groupe pour la multiplication.
- tester pour tous les entiers  $N$ entre 1 et 100.

In [49]:
def nondivPQ(N):
    res = list()
    liste_facteurs = list(N.factor())
    for i in srange(1,N):
        pas_multiple = True
        for e in liste_facteurs:
            if(i % e[0] == 0):
                pas_multiple = False
                break
        if(pas_multiple):
            res.append(i)
    return res

In [50]:
nondivPQ(20)

In [51]:
def formeGroupe(N):
    N = ZZ(N)
    return estGroupe(genMatrixMul(N),nondivPQ(N))

In [52]:
res = list()
for i in srange(100):
    res.append(formeGroupe(N))
show(all(res))

## Inversibilité et pgcd

On vient de voir que pour tout entier $N$, il existe un sous-ensemble de $G\subset E=\{1,2,\dots,N-1\}$ qui définit un groupe pour la multiplication modulo $N$. On dira de $G$ qu'il est le sous-groupe multiplicatif des entiers modulo $N$.

- Si $N$ est un nombre premier alors le sous-ensemble de $G$ est formé par tous les entiers compris entre 1 et N-1.
- Si par contre $N=p\times q$ avec $p$ et $q$ des nombres premiers alors le sous-ensemble $G$ est formé des entiers divisibles ni par $p$ ni par $q$, autrement dit ceux dont le pgcd avec $N$ est égal à $1$. Dans ce cas, le nombre d'entiers dans $G$ est $(p-1)\times(q-1)$.

De manière plus générale, pour tout $N$, le sous-ensemble $G$ est formé des entiers qui sont premiers avec $N$, càd tous les entiers $x\in \{1,\dots,N-1\}$ tels que $\operatorname{pgcd}(x,N)=1$. L'indicatrice d'Euler, notée $\varphi(N)$, donne exactement le nombre d'éléments de $G$. 

### Question
Retrouver les éléments inversibles *modulo* $35$ en utilisant la propriété sur le pgcd, et vérifier que le nombre d'éléments trouvés vaut bien $\varphi(35)$. *Le pgcd de $a$ et $b$ se calcule avec `gcd(a,b)`, et $\varphi(N)$ avec `euler_phi(N)`.*

In [53]:
res = list()
for i in range(1,36):
    if(gcd(i,35) == 1):
        res.append(i)
show(res)
show(len(res) == euler_phi(35))

### Question
Pour différentes valeur de $N$, calculer $z^{\varphi(N)} \bmod N$ pour tous les éléments inversibles de $\{1,\dotsc,N\}$. Que remarquez-vous ?  

In [54]:
for e in res:
    e = Integers(35)(e)
    show(e^(euler_phi(35)))
    
### Toujours égal à 1

On remarque que pour tout $z$ dans le groupe multiplicatif $G$ modulo $N$, $z^{\varphi(n)} = 1$. On définit l'*ordre* d'un entier $z\in G$, noté $\operatorname{ord}(z)$, comme étant le plus petit entier $k>0$ tel que $z^k=1 \bmod N$. On a donc $\operatorname{ord}(z)\le\varphi(N)$.

### Question
- En utilisant directement la structure `Integers(N)` pour faire les calculs modulo $N$, écrire une fonction `ord_mul_modN(x, N)` qui calcule l'ordre de $x$ *modulo* $N$, quand $x$ est inversible *modulo* $N$.
- Donner la liste des couples $(x,\operatorname{ord}(x))$ pour tous les entiers $x$ qui sont inversibles pour la multiplication *modulo* $N$, pour $N=5,15,17$.

*Vérifier que vos résultats sont corrects en utilisant la fonction `pow(x,k,N)` qui calcule $x^k \bmod N$.*

In [55]:
def ord_mul_modN(x,N):
    ZN = Integers(N)
    x = ZN(x)
    if(x not in liste_inv_mul(N)):
        return None
    for k in range(1,euler_phi(N)+1):
        if (x^k == 1):
            return k

In [56]:
N = 17
for i in range(N):
    ordre = ord_mul_modN(i,N)
    if(ordre != None):
        show((i,ordre))
        show(pow(i,ordre,N))

### Question
Définir une fonction `liste_ord_mul` qui étant donné un entier N renvoie la liste des ordres possibles de tous les éléments inversibles pour la multiplication modulo $N$. <!--Vous pourrez utilisez la méthode **multiplicative_order()** qui pour un élement x de Integer(N) donne l'ordre mutliplicatif de x modulo N.-->
*Tester pour tous les entiers $N$ entre $2$ et $40$.*

In [57]:
def liste_inv_mul_gcd(N):
    res = list()
    for i in range(N):
        if (gcd(i,N) == 1):
            res.append(i)
    return res

In [58]:
def liste_ord_mul(N):
    res = list()
    for i in liste_inv_mul_gcd(N):
        ordre = ord_mul_modN(i,N)
        if (ordre not in res and ordre != None):
            res.append(ordre)
    return res

In [59]:
for i in range(2,40):
    show(liste_ord_mul(i))

### Question
Vérifier que pour tous les nombres premiers $< 40$, les ordres des éléments inversibles pour la multiplication modulo $N$ divisent tous $N-1$. *Vous pourrez utiliser la fonction Sage `prime_range(N)` qui donne la liste des premiers inférieur à N.*

In [60]:
res = list()
for N in prime_range(40):
    for e in liste_ord_mul(N):
        res.append((N-1) % e == 0)
show(all(res))

### Question
De manière similaire, montrer (pour $p,q<40$) que si $N=p\times q$ avec $p$ et $q$ des nombres premiers différent alors les ordres des éléments inversibles pour la multiplication modulo $N$ divisent tous $(p-1)\times(q-1)$. 

In [61]:
def test():
    for p in Primes()[0:11]: ### Car le 11ème nb premier est 37 < 40, mais avec 11 c'est trop long
        for q in Primes()[0:11]:
            if(p != q):
                N = p * q
                liste_ordres = liste_ord_mul(N)
                for o in liste_ordres:
                    O = Integers(o)
                    pm1qm1 = O((p-1) * (q-1))
                    if ((pm1qm1 != 0)):
                        return False
    return True

In [None]:
show(test())

### Question
En réalité, la propriété observée est vraie pour tout $N$ : les ordres des éléments inversibles pour la multiplication *modulo* $N$ divisent tous $\varphi(N)$. Vérifier la propriété pour pour tout $N \le 40$.

In [None]:
def testDivPhi(N):
    for e in liste_ord_mul(N):
        E = Integers(e)
        phi = E(euler_phi(N))
        if (phi != 0):
            return False
    return True

In [None]:
res = list()
for i in range(1,41):
    res.append(testDivPhi(i))
show(all(res))

## Cryptosystème RSA

Le système de chiffrement RSA est l'un des systèmes cryptographique les plus utilisées dans votre vie de tous les jours (par exemple il est utilisé quand vous payez en carte bleue). Ce protocole s'appuie sur des calculs avec des entiers modulo $N$ et il s'appuie sur la structure de sous-groupe multiplicatif que nous avons entre-apercu.

L'idée est de prendre un entier $N=p \times q$ ou $p$ et $q$ sont deux nombres premiers.
Comme vous avez vu que l'ordre des éléments inversibles pour la multiplication modulo $N$ est toujours divisible par $(p-1)\times (q-1)$ on a la propriété suivante:

$\forall x \in \{1,\dots,N-1\}$ tel que $pgcd(x,N)=1$ alors $x^{(p-1)\times (q-1)} \bmod N= 1$

### Question
Vérifier cette propriété pour $N=55$. *Vérifier également que la propriété est fausse si on ne suppose pas $\operatorname{pgcd}(x,N)=1$.*

In [None]:
liste = liste_inv_mul_gcd(55)
N = Integers(55)
for e in liste:
    e = N(e)
    show(e^((5-1)*(11-1)))

L'idée du chiffrement RSA est d'utiliser le calcul des entiers modulo $N$ avec un entier $N=p \times q$ où $p,q$ sont premiers. On définit une paire de clé $(e,d)$ avec $e,d$ deux entiers non-nuls plus petit que $N$, et on dit que la paire $(N,e)$ est la clé publique et que la paire $(N,d)$ est la clé secrète. 

Lorsque quelqu'un veut envoyer un message $m$ chiffré à Alice, il lui suffit d'utiliser la clé publique $(N,e)$ d'Alice (qui est connue de tous). Par simplicité, on considèrera que le message $m$ est un entier dans $\{1,\dots,N-1)$ tel que $pgcd(m,N)=1$. Le chiffrement de $m$ par la clé publique d'Alice consiste à calculer $C_m = m^e \bmod N$.

Pour déchiffrer le message, il faut soit:
- calculer $m$ ou $d$ en fonction de $C_m,e$ et $N$, ce qui est en fait un problème difficile (complexité sous-exponentielle)
- soit connaitre la clé privé $(N,d)$ que seul Alice connait. En effet, pour Alice il suffit de calculer
$m = C_m^d \bmod N$ (complexité quasi-linéaire)


### Question

Soit $N=5\times 11$, $m=31$, $e=3$ et $d=42$, montrer que le déchiffrement de RSA avec la clé privée $d$ fonctionne bien.

In [None]:
N = 55
ZN = Integers(N)
(e,d) = (3,42)
m = 31
cle_publique = (N,e)
cle_privee = (N,d)
Cm = ZN(m^e)
message_chiffre = Cm
message_dechiffre = ZN(Cm^d)
show(message_chiffre)
show(message_dechiffre)
### On a bien message_dechiffre == m donc cela fonctionne bien

Toute la magie de ce protocole de cryptage réside dans le calcul de la paire d'entiers $(e,d)$. En effet, $e$ doit être choisi de telle sorte que $pgcd(e,(p-1)\times(q-1))=1$. Cette condition implique que $e$ est inversible modulo $(p-1)\times(q-1)$. Il suffit de poser $d=1/e \bmod (p-1)\times(q-1)$ pour faire marcher le protocole. 

En effet, par définition de $e$ et $d$ on a que $d*e = 1 \bmod (p-1)\times(q-1)$. Par conséquent, on a que $de= 1 + k \times (p-1)\times(q-1)$ avec $k$ un entiers.


Maintenant, si on considère le sous-groupe $G$ des inversibles pour la multiplication modulo $N$, on a vu que pour tout élément $x\in G$ l'ordre de $x$ divise $(p-1)\times(q-1)$. Cela implique donc que $x^{(p-1)\times(q-1)}=1 \bmod N$.

En reprenant le protocole RSA, on a que le déchiffrement calcule
$C_m^e \bmod N = {(m^d)}^e \bmod N = m^{de} \bmod N= m^{1 + k \times (p-1)\times(q-1)} \bmod N = m \times m^{k \times (p-1)\times(q-1)}= m \times {(m^{(p-1)\times(q-1)})}^k = m \times 1^k \bmod N=m$


### Question
En considérant $N=17*11=187$, $m=101$, calculer $10$ paires d'entier $(e,d)$ au hasard tel que le protocole RSA fonctionne. À chaque fois vous afficherez $e$ et $d$ ainsi que le message chiffré et son déchiffrement.

In [None]:
N = 187
MODPQ = Integers((p-1) * (q-1))
MODN = Integers(N)
p = 17
q = 11
m = 101
for i in range(10):
    e = choice(liste_inv_mul_gcd((p-1) * (q-1)))
    d = MODPQ(1/e)
    Cm = MODN(m^e)
    Cmd = MODN(Cm^d)
    show("e = ",e)
    show("d = ",d)
    show("Message chiffré = ",Cm)
    show("Message déchiffré = ",Cmd)