# Criptografia Homom√≥rfica com Paillier

1. [Introdu√ß√£o √† Criptografia Homom√≥rfica](#introdu√ß√£o-√†-criptografia-homom√≥rfica)
1. [O esquema](#o-esquema-paillier)
1. [Implementa√ß√£o](#implementa√ß√£o-do-esquema-paillier)
1. [Opra√ß√µes Homom√≥rficas](#opera√ß√µes-homom√≥rficas)
1. [Aplica√ß√µes](#aplica√ß√µes)


## Introdu√ß√£o √† Criptografia Homom√≥rfica

A **criptografia homom√≥rfica** √© um tipo especial de criptografia que permite realizar opera√ß√µes matem√°ticas diretamente sobre dados criptografados, sem a necessidade de descriptograf√°-los primeiro.

### 1.1 Propriedade Homom√≥rfica

Para um esquema de criptografia ser homom√≥rfico, ele deve satisfazer:

$$E(m_1 \oplus m_2) = E(m_1) \odot E(m_2)$$

Onde:
- $E()$ √© a fun√ß√£o de criptografia
- $m_1, m_2$ s√£o mensagens (dados originais)
- $\oplus$ √© uma opera√ß√£o no espa√ßo das mensagens
- $\odot$ √© uma opera√ß√£o no espa√ßo dos dados criptografados

### 1.2 Tipos de Homomorfismo

1. **Homomorfismo Aditivo**: $E(m_1 + m_2) = E(m_1) \cdot E(m_2)$
2. **Homomorfismo Multiplicativo**: $E(m_1 \cdot m_2) = E(m_1) \otimes E(m_2)$
3. **Homomorfismo Total (FHE)**: Suporta ambas as opera√ß√µes

## O Esquema Paillier



O esquema **Paillier** √© um sistema de criptografia assim√©trica que possui propriedades homom√≥rficas **aditivas**.

### 2.1 Propriedades Matem√°ticas

O esquema Paillier satisfaz:

$$E(m_1 + m_2) = E(m_1) \times E(m_2) \bmod n^2$$

$$E(k \cdot m) = E(m)^k \bmod n^2$$

### 2.2 Par√¢metros do Sistema

- **Chave P√∫blica**: $(n, g)$ onde $n = p \cdot q$ e $g \in \mathbb{Z}_{n^2}^*$
- **Chave Privada**: $(\lambda, \mu)$ onde:
  - $\lambda = \text{lcm}(p-1, q-1)$
  - $\mu = (L(g^\lambda \bmod n^2))^{-1} \bmod n$
  - $L(x) = \frac{x-1}{n}$

### 2.3 Algoritmos

**Criptografia:**
$$c = g^m \cdot r^n \bmod n^2$$

**Descriptografia:**
$$m = L(c^\lambda \bmod n^2) \cdot \mu \bmod n$$

Onde $r$ √© um n√∫mero aleat√≥rio tal que $\gcd(r,n) = 1$.

## Implementa√ß√£o do Esquema Paillier

In [None]:
import random
import math
from typing import Tuple
import numpy as np


### Fun√ß√µes auxiliares

In [None]:
    def _generate_prime(self, bits: int) -> int:
        """Gera um n√∫mero primo com o n√∫mero especificado de bits"""
        while True:
            # Gerar n√∫mero √≠mpar aleat√≥rio
            num = random.getrandbits(bits)
            if num % 2 == 0:
                num += 1
            if self._is_prime(num):
                return num
    
    def _is_prime(self, n: int, k: int = 5) -> bool:
        """Teste de primalidade de Miller-Rabin"""
        if n < 2:
            return False
        if n == 2 or n == 3:
            return True
        if n % 2 == 0:
            return False
        
        # Escrever n-1 como d √ó 2^r
        r = 0
        d = n - 1
        while d % 2 == 0:
            r += 1
            d //= 2
        
        # Realizar k testes
        for _ in range(k):
            a = random.randrange(2, n - 1)
            x = pow(a, d, n)
            
            if x == 1 or x == n - 1:
                continue
            
            for _ in range(r - 1):
                x = pow(x, 2, n)
                if x == n - 1:
                    break
            else:
                return False
        
        return True
    
    def _lcm(self, a: int, b: int) -> int:
        """Calcula o menor m√∫ltiplo comum"""
        return abs(a * b) // math.gcd(a, b)
    
    def _mod_inverse(self, a: int, m: int) -> int:
        """Calcula o inverso modular usando algoritmo estendido de Euclides"""
        if math.gcd(a, m) != 1:
            raise ValueError("Inverso modular n√£o existe")
        
        def extended_gcd(a, b):
            if a == 0:
                return b, 0, 1
            gcd, x1, y1 = extended_gcd(b % a, a)
            x = y1 - (b // a) * x1
            y = x1
            return gcd, x, y
        
        _, x, _ = extended_gcd(a % m, m)
        return (x % m + m) % m

In [None]:
##
## Criptografar
##
def encrypt(self, message: int) -> int:
    """
    Criptografa uma mensagem usando a chave p√∫blica
    
    Implementa: c = g^m √ó r^n mod n¬≤
    
    Args:
        message: Mensagem a ser criptografada (inteiro n√£o-negativo)
        
    Returns:
        Texto cifrado
    """
    n, g = self.public_key
    n_squared = n * n
    
    # Validar entrada
    if message < 0 or message >= n:
        raise ValueError(f"Mensagem deve estar no intervalo [0, {n-1}]")
    
    # Escolher r aleat√≥rio onde gcd(r, n) = 1
    while True:
        r = random.randrange(1, n)
        if math.gcd(r, n) == 1:
            break
    
    # Calcular c = g^m √ó r^n mod n¬≤
    ciphertext = (pow(g, message, n_squared) * pow(r, n, n_squared)) % n_squared
    return ciphertext

def decrypt(self, ciphertext: int) -> int:
    """
    Descriptografa um texto cifrado usando a chave privada
    
    Implementa: m = L(c^Œª mod n¬≤) √ó Œº mod n
    onde L(x) = (x-1)/n
    
    Args:
        ciphertext: Texto cifrado a ser descriptografado
        
    Returns:
        Mensagem original
    """
    lambda_n, mu, n = self.private_key
    n_squared = n * n
    
    # Calcular c^Œª mod n¬≤
    c_lambda = pow(ciphertext, lambda_n, n_squared)
    
    # Aplicar fun√ß√£o L(x) = (x-1)/n
    l_val = (c_lambda - 1) // n
    
    # Calcular m = L(c^Œª mod n¬≤) √ó Œº mod n
    message = (l_val * mu) % n
    
    return message

### Crypto Sistema Paillier

In [None]:
class PaillierCryptosystem:
    """
    Implementa√ß√£o do sistema criptogr√°fico Paillier
    
    O esquema Paillier √© baseado no problema da residuosidade quadr√°tica composta
    e oferece homomorfismo aditivo.
    """
    
    def __init__(self, key_size: int = 512):
        """
        Inicializa o sistema criptogr√°fico Paillier
        
        Args:
            key_size: Tamanho da chave em bits
        """
        self.key_size = key_size
        self.public_key, self.private_key = self._generate_keys()
        
    def _generate_keys(self) -> Tuple[Tuple[int, int], Tuple[int, int, int]]:
        """
        Gera as chaves p√∫blica e privada do esquema Paillier
        
        Returns:
            Tupla contendo (chave_publica, chave_privada)
            - chave_publica: (n, g)
            - chave_privada: (lambda_n, mu, n)
        """
        # Passo 1: Gerar dois n√∫meros primos p e q de tamanho similar
        p = self._generate_prime(self.key_size // 2)
        q = self._generate_prime(self.key_size // 2)
        
        # Passo 2: Calcular n = p √ó q
        n = p * q
        
        # Passo 3: Calcular Œª = lcm(p-1, q-1)
        lambda_n = self._lcm(p - 1, q - 1)
        
        # Passo 4: Escolher g = n + 1 (forma mais simples e segura)
        g = n + 1
        
        # Passo 5: Calcular Œº = (L(g^Œª mod n¬≤))^(-1) mod n
        n_squared = n * n
        gcd_val = pow(g, lambda_n, n_squared)
        l_val = (gcd_val - 1) // n  # Fun√ß√£o L(x) = (x-1)/n
        mu = self._mod_inverse(l_val, n)
        
        # Retornar chaves
        public_key = (n, g)
        private_key = (lambda_n, mu, n)
        
        return public_key, private_key
    
# add m√©todos
PaillierCryptosystem._generate_prime = _generate_prime
PaillierCryptosystem._is_prime = _is_prime
PaillierCryptosystem._lcm = _lcm
PaillierCryptosystem._mod_inverse = _mod_inverse

PaillierCryptosystem.encrypt = encrypt
PaillierCryptosystem.decrypt = decrypt

## Opera√ß√µes Homom√≥rficas



### 4.1 Soma Homom√≥rfica

A propriedade fundamental do Paillier √©:

$$E(m_1 + m_2) = E(m_1) \times E(m_2) \bmod n^2$$

Isso significa que podemos somar dois n√∫meros criptografados multiplicando seus valores cifrados!



In [None]:
def add_encrypted(self, c1: int, c2: int) -> int:
    """
    Soma dois valores criptografados
    
    Implementa: E(m1 + m2) = E(m1) √ó E(m2) mod n¬≤
    
    Args:
        c1, c2: Valores criptografados a serem somados
        
    Returns:
        E(m1 + m2): Resultado da soma (criptografado)
    """
    n, _ = self.public_key
    n_squared = n * n
    
    return (c1 * c2) % n_squared

PaillierCryptosystem.add_encrypted = add_encrypted

### 4.2 Multiplica√ß√£o por Escalar

Tamb√©m podemos multiplicar um valor criptografado por uma constante:

$$E(k \times m) = E(m)^k \bmod n^2$$

In [None]:

def multiply_by_constant(self, ciphertext: int, constant: int) -> int:
    """
    Multiplica um valor criptografado por uma constante
    
    Implementa: E(k √ó m) = E(m)^k mod n¬≤
    
    Args:
        ciphertext: Valor criptografado
        constant: Constante para multiplica√ß√£o
        
    Returns:
        E(k √ó m): Resultado da multiplica√ß√£o (criptografado)
    """
    n, _ = self.public_key
    n_squared = n * n
    
    if constant < 0:
        raise ValueError("Constante deve ser n√£o-negativa")
    
    return pow(ciphertext, constant, n_squared)

PaillierCryptosystem.multiply_by_constant = multiply_by_constant


In [None]:
def get_public_key_info(self):
    """Retorna informa√ß√µes sobre a chave p√∫blica"""
    n, g = self.public_key
    return {
        'n': n,
        'g': g,
        'n_bits': n.bit_length(),
        'max_message': n - 1
    }

PaillierCryptosystem.get_public_key_info = get_public_key_info

## Demonstra√ß√£o

Vamos agora demonstrar as propriedades homom√≥rficas do esquema Paillier com exemplos pr√°ticos.

In [None]:
paillier = PaillierCryptosystem(key_size=256)  # Chave menor para demonstra√ß√£o r√°pida

# Mostrar informa√ß√µes da chave p√∫blica
key_info = paillier.get_public_key_info()
print(f"\nInforma√ß√µes da Chave P√∫blica:")
print(f"n = {key_info['n']}")
print(f"g = {key_info['g']}")
print(f"Tamanho de n: {key_info['n_bits']} bits")
print(f"Mensagem m√°xima: {key_info['max_message']}")

### 5.1 Teste da Criptografia B√°sica

In [None]:
# Valores de teste
messages = [42, 100, 255, 1000]

for msg in messages:
    # Criptografar
    encrypted = paillier.encrypt(msg)
    
    # Descriptografar
    decrypted = paillier.decrypt(encrypted)
    
    # Verificar
    success = "‚úì" if decrypted == msg else "‚úó"
    print(f"{success} m = {msg:4d} | E(m) = ... | D(E(m)) = {decrypted:4d}")


O que acontece se colocarmos umas msg como `-1`?

### 5.2 Demonstra√ß√£o da Soma Homom√≥rfica

Vamos demonstrar que $E(m_1 + m_2) = E(m_1) \times E(m_2) \bmod n^2$

In [None]:
# Valores para teste
m1, m2 = 15, 25
print(f"Soma esperada: m‚ÇÅ + m‚ÇÇ = {m1 + m2}\n")

In [None]:
# Criptografar os valores
c1 = paillier.encrypt(m1)
c2 = paillier.encrypt(m2)

# Realizar a soma homom√≥rfica
homomorphic_sum = paillier.add_encrypted(c1, c2)

c1,c2

In [None]:
# Descriptografar o resultado
print(f"Resultado da soma homom√≥rfica (cifrado): {homomorphic_sum}")

In [None]:
decrypted_homomorphic = paillier.decrypt(homomorphic_sum)
print(f"Resultado da soma homom√≥rfica (descriptografado): {decrypted_homomorphic}")

### 5.3 Demonstra√ß√£o da Multiplica√ß√£o por Escalar

Vamos demonstrar que $E(k \times m) = E(m)^k \bmod n^2$

In [None]:
m = 12
k = 7

print(f"Produto esperado: k √ó m = {k} √ó {m} = {k * m}\n")


In [None]:
# Criptografar o valor
c = paillier.encrypt(m)

# Realizar a multiplica√ß√£o homom√≥rfica
homomorphic_product = paillier.multiply_by_constant(c, k)
homomorphic_product

In [None]:

# Descriptografar o resultado
decrypted_homomorphic = paillier.decrypt(homomorphic_product)
decrypted_homomorphic


### 5.4 Opera√ß√µes Complexas

Vamos demonstrar opera√ß√µes mais complexas combinando as propriedades homom√≥rficas:

Calcularemos $k \times (m_1 + m_2)$ de forma homom√≥rfica atrav√©s de $E(k \times (m_1 + m_2)) = (E(m_1) \times E(m_2))^k \bmod n^2$

In [None]:
# Valores para teste
m1, m2, k = 8, 12, 5
expected = k * (m1 + m2)
print(f"Resultado esperado: k √ó (m‚ÇÅ + m‚ÇÇ) = {k} √ó ({m1} + {m2}) = {expected}\n")

In [None]:
# Criptografar m1 e m2
c1 = paillier.encrypt(m1)
c2 = paillier.encrypt(m2)

# Passo 1: Soma homom√≥rfica de c1 e c2 para obter E(m1 + m2)
c_sum = paillier.add_encrypted(c1, c2)

# Passo 2: Multiplica√ß√£o por escalar de E(m1 + m2) por k
c_final = paillier.multiply_by_constant(c_sum, k)

In [None]:
# Descriptografar o resultado final
decrypted_final = paillier.decrypt(c_final)

print(f"Resultado da opera√ß√£o complexa (descriptografado): {decrypted_final}")


## Aplica√ß√µes

O paillier √©  √∫til em cen√°rios que exigem a agrega√ß√£o de dados privados, como:
   - **Vota√ß√£o Eletr√¥nica (e-voting)**: Contar votos sem revelar as escolhas individuais.
   - **Leil√µes Privados**: Determinar o vencedor sem revelar os lances dos outros participantes.
   - **An√°lise de Dados M√©dicos**: Calcular estat√≠sticas (como m√©dias) de dados de pacientes de diferentes hospitais sem que os hospitais compartilhem os dados brutos.

Embora n√£o seja **totalmente homom√≥rfico** (n√£o suporta multiplica√ß√£o entre dois n√∫meros criptografados), suas propriedades s√£o poderosas para muitas aplica√ß√µes pr√°ticas que preservam a privacidade.

### Elei√ß√µes Seguras: Preservando a Privacidade do processo eleitoral

Na tranquila universidade UFCG, a comunidade acad√™mica demonstrava crescente preocupa√ß√£o com a transpar√™ncia e a privacidade no processo de escolha do novo reitor. A elei√ß√£o entre os candidatos Alice e Bob precisava ser absolutamente segura, garantindo a inviolabilidade dos votos.

No entanto, ao examinar o c√≥digo do sistema de vota√ß√£o, um estudante do curso de computa√ß√£o fez uma descoberta alarmante: a urna eletr√¥nica armazenava os votos de forma desprotegida, permitindo que um agente malicioso pudesse realizar a reidentifica√ß√£o dos eleitores ‚Äî comprometendo a confidencialidade do processo eleitoral.

segue o trecho da c√≥digo da urna:

- Onde 1 indicava votos em Alice e 0 em Bob.

In [None]:
# Votos: 1 para candidato A, 0 para candidato B
votos = [1, 0, 1, 1, 0, 1, 0, 1, 0, 1]  # 6 votos para A, 4 para B
print(f"Votos originais: {votos}")
print(f"Candidato A: {sum(votos)} votos")
print(f"Candidato B: {len(votos) - sum(votos)} votos")

A comiss√£o eleitoral especificou um sistema revolucion√°rio de vota√ß√£o eletr√¥nica seguro , que garante:

- **Privacidade Individual**: Nenhum voto pode ser identificado
- **Integridade dos Resultados**: Contagem precisa e segura
- **Transpar√™ncia**: Possibilidade de verifica√ß√£o do resultado final

#### Funcionanamento

1. **Registro do Voto**
   - Cada eleitor vota digitalmente
   - Voto √© imediatamente criptografado
   - Valor 1 representa voto no Candidato A
   - Valor 0 representa voto no Candidato B

2. **Processo de Criptografia**
   - Cada voto √© transformado em um c√≥digo secreto
   - Imposs√≠vel descobrir o voto original
   - Apenas o resultado final pode ser descriptografado

3. **Contagem Segura**
   - Votos criptografados s√£o computados
   - Resultado final √© descriptografado
   - Preserva o anonimato de cada eleitor

#### Passo 1: criptografar os dados

In [None]:
# Criptografar cada voto
votos_criptografados = [paillier.encrypt(voto) for voto in votos]

len(votos_criptografados)

In [None]:
votos_criptografados

#### Passo 2: Soma dos votos

In [None]:
# Contar votos de forma segura (somando todos os valores criptografados)
total_votos_A = votos_criptografados[0]
for i in range(1, len(votos_criptografados)):
    total_votos_A = paillier.add_encrypted(total_votos_A, votos_criptografados[i])

In [None]:
total_votos_A

#### Passo 3: Como computar os votos de cada cantidato?

In [None]:
# Descriptografar apenas o resultado final
resultado_A = paillier.decrypt(total_votos_A)
resultado_B = len(votos) - resultado_A

print(f"Resultado da elei√ß√£o:")
print(f"\t Candidato Alice: {resultado_A} votos")
print(f"\t Candidato Bob: {resultado_B} votos")


üîí **Processo de Vota√ß√£o** üîí
- Votos s√£o criptografados individualmente
- Sistema soma os votos criptografados
- Apenas o resultado final √© revelado

### Benef√≠cios

- ‚úÖ Prote√ß√£o contra fraudes
- ‚úÖ Sigilo do voto garantido
- ‚úÖ Contagem instant√¢nea e precisa
- ‚úÖ Auditoria simplificada