#**Laborat√≥rio \#2 - Cifras de Fluxo e de Bloco**
- Seguran√ßa em Computa√ß√£o 2025/2
- Prof. Rodolfo da Silva Villa√ßa

Alunos:
- Elder Ribeiro Storck (Eng. Comp - Gradua√ß√£o)
- Thiago Felippe Neitzke Lahass (Eng. Comp - Gradua√ß√£o)

# **One-Time Pad (OTP)**

## üéØ Objetivo

Uma **One-Time Pad (OTP)** √© matematicamente inquebr√°vel‚Ä¶ **desde que nunca seja reutilizada**. Quando a mesma chave √© usada para cifrar duas mensagens diferentes, um atacante pode explorar a rela√ß√£o entre os textos cifrados e **recuperar partes (ou at√© todo) o texto original**.

Explorar o ataque de **crib-dragging** e entender por que o **reuso de chaves** em OTP √© fatal para a seguran√ßa de sistemas criptogr√°ficos.

---

## üß∞ Tarefas

1. A fun√ß√£o `xor_strings(m1, m2)` em Python, recebe com entrada `m1` e `m2` strings em formato ASCII / UTF-8 sem acentos e cedilha. E gera dois ciphertexts:
   - `c1 = m1 ‚äï k`  
   - `c2 = m2 ‚äï k`  
usando a **mesma chave** `k`.  
2. Mostre que:
   - `c1 ‚äï c2 = m1 ‚äï m2`  
4. Use a t√©cnica de **crib-dragging** (testando palavras conhecidas) para recuperar partes do conte√∫do das mensagens originais.

> Refer√™ncia: [‚ÄúToying with Cryptography: Crib Dragging‚Äù ‚Äî Sam Rose (2015-07-18)](https://samwho.dev/blog/toying-with-cryptography-crib-dragging/)


---

### üí° Exemplo

Se:

- `m1 = "SEGURANCA E CRIPTOGRAFIA"`  
- `m2 = "ENGENHARIA E CIENCIA DA COMPUTACAO"`

Ent√£o, ao tentar cribs como `" COMPUTACAO "` ou `" SEGURANCA "`, ser√° poss√≠vel **revelar partes do texto original**, demonstrando a vulnerabilidade causada pelo reuso da chave OTP.

‚úÖ **Dica:** comece implementando a fun√ß√£o XOR e testando com mensagens pequenas. Depois, aplique a t√©cnica de *crib-dragging* para ver a recupera√ß√£o parcial dos textos.

---

In [1]:
def xor_strings(s1: str, s2: str) -> bytes:
    """
    Faz o XOR entre duas strings (byte a byte).
    Retorna o resultado em bytes.
    """
    # Converte para bytes (UTF-8)
    b1 = s1.encode('utf-8')
    b2 = s2.encode('utf-8')

    # Garante que tenham o mesmo tamanho (trunca para o menor)
    min_len = min(len(b1), len(b2))
    b1 = b1[:min_len]
    b2 = b2[:min_len]

    # XOR byte a byte
    result = bytes([x ^ y for x, y in zip(b1, b2)])
    return result

# Exemplo:
texto1 = "SEGURANCA EM COMPUTACAO"
texto2 = "CRIPTOGRAFIA EH LEGAL!!"

resultado = xor_strings(texto1, texto2)

# Mostra o resultado em bytes e em hexadecimal
print("Resultado (bytes):", resultado)
print("Resultado (hex):", resultado.hex())


Resultado (bytes): b'\x10\x17\x0e\x05\x06\x0e\t\x11\x00f\x0c\x0c\x00\x06\x07m\x1c\x10\x13\x00\x0f`n'
Resultado (hex): 10170e05060e091100660c0c0006076d1c1013000f606e


In [2]:
def xor_encode(plaintext: str, key: str) -> bytes:
    """
    Faz XOR entre uma string e uma chave ASCII de mesmo tamanho.
    Retorna o resultado em bytes.
    """
    if len(plaintext) != len(key):
        raise ValueError("Erro: plaintext e chave devem ter o mesmo tamanho!")

    # Converte ambos para bytes
    pt_bytes = plaintext.encode('ascii')
    key_bytes = key.encode('ascii')

    # XOR byte a byte
    result = bytes([p ^ k for p, k in zip(pt_bytes, key_bytes)])
    return result


# Exemplo:
texto = "CRIPTOGRAFIA"       # 12 caracteres
chave = "ABCDEFGHIJKL"       # tamb√©m 12 caracteres

resultado = xor_encode(texto, chave)

# Mostra o resultado em hexadecimal e bytes
print("Resultado (bytes):", resultado)
print("Resultado (hex):", resultado.hex())

# Decifrar √© s√≥ aplicar XOR de novo com a mesma chave
decifrado = xor_encode(resultado.decode('latin1'), chave)
print("Texto original:", decifrado.decode('ascii'))


Resultado (bytes): b'\x02\x10\n\x14\x11\t\x00\x1a\x08\x0c\x02\r'
Resultado (hex): 02100a141109001a080c020d
Texto original: CRIPTOGRAFIA


## üß∞ Tarefas

As mensagens abaixo est√£o em formato hex e foram cifradas com **a mesma chave secreta**. Use a rela√ß√£o `c1 ‚äï c2 = p1 ‚äï p2` para realizar o ataque de *crib-dragging*.

```plaintext
85f7648041890615c5666befb57126a49f524a95bffd75cb859929b49a8cf10cc80612a9aa96e658366c294eca22a6ad66b770b001e86bb137ede8b43d149140c6778727f93762ae26214472b8115ac6
81ed7183518b7311a86805f7b51228bffa33488cd0ea7ecc85994ca790e0f363d50b15b3aef2f9315f773942ba2ccad509b076b908816ab9319fe2c03a7b8d40b46e8755ee390fda3b40547fb4055ec6
858376945a846774cc6805f4b10331a2fb5c54e3b6e079a881875da18d81f46db80113b7aa8d964b296b3942ba22cad317a176ae028169b93e8287d73415824db46c8d54ff2a79cf2d4e29
8b83759d55826974ce686c87b5152eaafb5c2693bffd10dd8d8a29b79a8df162d9727cb0aef8e24f316a2b27db43b8d912bd71bf67ef76ae3f8cebb4340f8621da719e489a3979c73a4e29
96e6709f5d8d6974dc7564e9a71722b9f65747e3a0ee62c9e08a29aa9089e469a3690ab8bdfff0433c633827de2ab9c609ba76bc0eed70b83389e2b4311ae352d5728927eb2d6eda3b4e29
87e27783518b6719cd6971e8d4122faef8522682bdee7ec081eb4aa19b8f8b0cc81b19adaee4f32a30022d55cf33a5b608b51fbb09f56bbd368c87d830089744b47a8927f8397ccb47
87ec6b975d9e6b11a8746087bb7126a7e95c2695b9ee7ac795f029a79e93ff0cc8060fb4bbffe04553022b43d322b8b609a47aac06e278b3529de8c655088646c16c8949f93901
80ec668459896800c77405e2a70526a49f5d49e3b3e076da85eb4bdfff90f56bcd0c7cbcbff3f84b2c022948ca2aabc566b11fa808ed6db9528ce9c03008e345db1e8542f3370fca204029

```

A seguir temos um conjunto de *cribs* ‚Äî palavras e express√µes comuns em portugu√™s do Brasil que podem ser utilizadas para ataques de **crib-dragging** em mensagens cifradas com XOR e chave reutilizada. A ideia √© tentar deslizar cada palavra ao longo de `c1 ‚äï c2` para identificar trechos leg√≠veis do texto original.

```plaintext
" ATAQUE " " AMANHA " " SERVIDOR " " SENHA " " PORTA " " COFRE " " CONFIRME " " OPERACAO " " ENDERECO " " PACOTE " " EQUIPE " " O " " A " " DE " " DO " " DA " " NO " " NA " " POR " " COM " " HOJE " " NOITE " " BASE " " ENTRADA " " ALVO " " CODIGO " " CHAVE " " USUARIO " " MENSAGEM " " ARQUIVO " " ENCRIPTADO " " DADOS " " SEGURANCA " " SISTEMA " " ACESSO " " PERMISSAO " " AUTENTICACAO " " TOKEN " " LOGIN " " ADMIN " " CONFIDENCIAL " " ALERTA " " AVISO " " PROCESSO " " EXECUCAO " " MONITORAMENTO " " PACOTE " " PACOTES " " REDE " " FIREWALL " " CONEXAO " " IP " " DOMINIO " " HOST " " PROTOCOLO " " CABECALHO " " ENDPOINT " " URL " " HTTP " " HTTPS " " GET " " POST " " REQUISICAO " " RESPOSTA " " SERVICO " " ERRO " " FALHA " " SUCESSO " " OK " " TRUE " " FALSE " " AUTH " " SESSION " " COOKIE " " ROLE " " USER " " ADMINISTRADOR " " CRIPTOGRAFIA " " DECIFRAR " " CIFRAR " " XOR " " ONE TIME PAD " " OTP " " ATAQUE DE FORCA BRUTA " " DICIONARIO " " CTF " " HACK " " EXPLOIT " " VULNERABILIDADE " " SHELL " " ROOT " " KERNEL " " SISTEMA OPERACIONAL " " BACKDOOR " " INJECAO " " SQL " " COMANDO " " SCRIPT " " PYTHON " " CODIGO FONTE " " VARIAVEL " " FUNCAO " " MAIN " " PRINT " " RETURN " " IF " " ELSE " " FOR " " WHILE " " INPUT " " OUTPUT " " BYTES " " HEX " " BINARIO " " MENSAGEM SECRETA " " FLAG " " CHALLENGE " " DESAFIO " " SOLUCAO " " RESULTADO " " EVIDENCIA " " RELATORIO " " DETALHE " " ANALISE " " INVESTIGACAO " " DETECCAO " " INCIDENTE " " ALERTA CRITICO " " SISTEMA COMPROMETIDO " " BRECHA " " LOG " " AUDITORIA " " MONITORAR " " SUPERVISAO " " OBSERVACAO " " ATACANTE " " DEFESA " " EXPLORACAO " " PENETRACAO " " RED TEAM " " BLUE TEAM " " SEGURANCA OFENSIVA " " SEGURANCA DEFENSIVA " " ENGENHARIA SOCIAL " " PHISHING " " SPOOFING " " MALWARE " " RANSOMWARE " " SPYWARE " " TROJAN " " WORM " " BOTNET " " ZUMBI " " C2 " " COMANDO E CONTROLE " " EXFILTRACAO " " DADOS SENSIVEIS " " PRIVACIDADE " " CONFIDENCIALIDADE " " INTEGRIDADE " " DISPONIBILIDADE " " CIA " " CIA TRIAD " " HASH " " MD5 " " SHA1 " " SHA256 " " SALT " " KDF " " PBKDF2 " " SCRYPT " " ARGON2 " " CHAVE PUBLICA " " CHAVE PRIVADA " " SIMETRICA " " ASSIMETRICA " " AES " " DES " " 3DES " " BLOWFISH " " CHACHA20 " " SALSA20 " " RC4 " " LFSR " " PRNG " " RANDOM " " SEED " " ENTROPIA " " NONCE " " IV " " INICIALIZACAO " " BLOCOS " " FLUXO " " BIT " " BYTE " " PACOTE DE DADOS " " STREAM " " BUFFER " " SOCKET " " PORTA 80 " " PORTA 443 " " PORTA 22 " " SSH " " TLS " " SSL " " CERTIFICADO " " CHAIN " " VALIDACAO " " AUTORIDADE " " REVOGACAO " " CAR " " OCSP " " DNS " " RESOLUCAO " " REDIRECIONAMENTO " " MITM " " INTERCEPTACAO " " CAPTURA " " SNIFF " " WIRESHARK " " TSHARK " " SCAPY " " PENTEST " " RECON " " ENUMERACAO " " BRUTE FORCE " " DICIONARIO DE ATAQUE " " LISTA DE SENHAS " " ROCKYOU " " ADMIN123 " " PASSWORD " " QWERTY " " 123456 " " TESTE " " SEGURANCA EM CAMADAS " " DEFESA EM PROFUNDIDADE " " CRIPTOGRAFIA EM TRANSITO " " CRIPTOGRAFIA EM REPOUSO " " SEGURANCA DE APLICACAO " " SEGURANCA DE REDE " " SEGURANCA DE SISTEMAS " " SEGURANCA DE DADOS " " SEGURANCA FISICA " " SEGURANCA LOGICA "
```
---

‚úÖ Como usar: copie esta lista em seu script de crib-dragging e teste cada palavra contra c1 ‚äï c2. Quanto mais cribs voc√™ tiver, maiores as chances de recuperar mensagens completas sem precisar da chave.

---



## Exerc√≠cio #1: Revelar Mensagens

Escolha dois ciphertexts do bloco acima. Calcule o XOR entre eles utilizando a seguinte express√£o:

```plaintext
x = c1 ‚äï c2
```
Em seguida, deslize cada *crib* (palavra conhecida) ao longo de `X`. Sempre que o resultado parecer texto leg√≠vel, anote o *offset*, pois ele indica a posi√ß√£o prov√°vel daquela palavra no plaintext. Combine v√°rias descobertas para reconstruir trechos maiores ou at√© mesmo a mensagem completa.

üìä Dica pr√°tica: comece testando palavras. √Ä medida que mais partes forem reveladas, novos *cribs* aparecer√£o naturalmente, permitindo recuperar cada vez mais conte√∫do do texto original e facilitando a reconstru√ß√£o da mensagem sem conhecer a chave original.

---




---

_Solu√ß√£o:_

In [3]:
# mesagens em hexa
c1_hex="85f7648041890615c5666befb57126a49f524a95bffd75cb859929b49a8cf10cc80612a9aa96e658366c294eca22a6ad66b770b001e86bb137ede8b43d149140c6778727f93762ae26214472b8115ac6"
c2_hex="81ed7183518b7311a86805f7b51228bffa33488cd0ea7ecc85994ca790e0f363d50b15b3aef2f9315f773942ba2ccad509b076b908816ab9319fe2c03a7b8d40b46e8755ee390fda3b40547fb4055ec6"

# hexa para bytes
c1 = bytes.fromhex(c1_hex)
c2 = bytes.fromhex(c2_hex)

def xor_bytes(a: bytes, b: bytes) -> bytes:
    """XOR byte-a-byte at√© o menor comprimento (zip)"""
    return bytes([x ^ y for x, y in zip(a, b)])

print(c1)
print(c2)
print()

# c1 xor c2
c1_xor_c2 = xor_bytes(c1, c2)
print("c1 xor c2 (hex):", c1_xor_c2.hex())
print()

cribs_full = ["ATAQUE","AMANHA","SERVIDOR","SENHA","PORTA","COFRE","CONFIRME","OPERACAO","ENDERECO","PACOTE","EQUIPE","O","A","DE","DO","DA","NO","NA","POR","COM","HOJE","NOITE","BASE","ENTRADA","ALVO","CODIGO","CHAVE","USUARIO","MENSAGEM","ARQUIVO","ENCRIPTADO","DADOS","SEGURANCA","SISTEMA","ACESSO","PERMISSAO","AUTENTICACAO","TOKEN","LOGIN","ADMIN","CONFIDENCIAL","ALERTA","AVISO","PROCESSO","EXECUCAO","MONITORAMENTO","PACOTE","PACOTES","REDE","FIREWALL","CONEXAO","IP","DOMINIO","HOST","PROTOCOLO","CABECALHO","ENDPOINT","URL","HTTP","HTTPS","GET","POST","REQUISICAO","RESPOSTA","SERVICO","ERRO","FALHA","SUCESSO","OK","TRUE","FALSE","AUTH","SESSION","COOKIE","ROLE","USER","ADMINISTRADOR","CRIPTOGRAFIA","DECIFRAR","CIFRAR","XOR","ONETIMEPAD","OTP","ATAQUEDEFORCABRUTA","DICIONARIO","CTF","HACK","EXPLOIT","VULNERABILIDADE","SHELL","ROOT","KERNEL","SISTEMAOPERACIONAL","BACKDOOR","INJECAO","SQL","COMANDO","SCRIPT","PYTHON","CODIGOFONTE","VARIAVEL","FUNCAO","MAIN","PRINT","RETURN","IF","ELSE","FOR","WHILE","INPUT","OUTPUT","BYTES","HEX","BINARIO","MENSAGEMSECRETA","FLAG","CHALLENGE","DESAFIO","SOLUCAO","RESULTADO","EVIDENCIA","RELATORIO","DETALHE","ANALISE","INVESTIGACAO","DETECCAO","INCIDENTE","ALERTACRITICO","SISTEMACOMPROMETIDO","BRECHA","LOG","AUDITORIA","MONITORAR","SUPERVISAO","OBSERVACAO","ATACANTE","DEFESA","EXPLORACAO","PENETRACAO","REDTEAM","BLUETEAM","SEGURANCAOFENSIVA","SEGURANCADEFENSIVA","ENGENHARIASOCIAL","PHISHING","SPOOFING","MALWARE","RANSOMWARE","SPYWARE","TROJAN","WORM","BOTNET","ZUMBI","C2","COMANDOECONTROLE","EXFILTRACAO","DADOSSENSIVEIS","PRIVACIDADE","CONFIDENCIALIDADE","INTEGRIDADE","DISPONIBILIDADE","CIA","CIATRIAD","HASH","MD5","SHA1","SHA256","SALT","KDF","PBKDF2","SCRYPT","ARGON2","CHAVEPUBLICA","CHAVEPRIVADA","SIMETRICA","ASSIMETRICA","AES","DES","3DES","BLOWFISH","CHACHA20","SALSA20","RC4","LFSR","PRNG","RANDOM","SEED","ENTROPIA","NONCE","IV","INICIALIZACAO","BLOCOS","FLUXO","BIT","BYTE","PACOTEDEDADOS","STREAM","BUFFER","SOCKET","PORTA80","PORTA443","PORTA22","SSH","TLS","SSL","CERTIFICADO","CHAIN","VALIDACAO","AUTORIDADE","REVOGACAO","CAR","OCSP","DNS","RESOLUCAO","REDIRECIONAMENTO","MITM","INTERCEPTACAO","CAPTURA","SNIFF","WIRESHARK","TSHARK","SCAPY","PENTEST","RECON","ENUMERACAO","BRUTEFORCE","DICIONARIODEATAQUE","LISTADESENHAS","ROCKYOU","ADMIN123","PASSWORD","QWERTY","123456","TESTE","SEGURANCAEMCAMADAS","DEFESAEMPROFUNDIDADE","CRIPTOGRAFIAEMTRANSITO","CRIPTOGRAFIAEMREPOUSO","SEGURANCADEAPLICACAO","SEGURANCADEREDE","SEGURANCADESISTEMAS","SEGURANCADEDADOS","SEGURANCAFISICA","SEGURANCALOGICA"]
cribs = ["ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRAS"]


# limitar o numero de hits para nao encher demais a output
limite_por_crib = 1

for crib in cribs:
    crib_b = crib.encode('ascii', errors='ignore')
    if not crib_b or len(crib_b) > len(c1_xor_c2):
        continue

    mostrados = 0
    for pos in range(0, len(c1_xor_c2) - len(crib_b) + 1):
        segmento = c1_xor_c2[pos:pos+len(crib_b)]                   # (c1 xor c2) no intervalo
        candidato = bytes(a ^ b for a, b in zip(segmento, crib_b))  # trecho do outro plaintext

        # crit√©rio simples de "leg√≠vel": todos bytes ASCII imprimiveis (32..126)
        if all(32 <= ch <= 126 for ch in candidato):
            try:
                texto = candidato.decode('ascii')
            except UnicodeDecodeError:
                continue  # se nao decodificar, pula

            print(f"[crib={crib:>12s}] pos={pos:03d}  ->  '{texto}'")
            print()
            mostrados += 1
            if mostrados >= limite_por_crib:
                break

b'\x85\xf7d\x80A\x89\x06\x15\xc5fk\xef\xb5q&\xa4\x9fRJ\x95\xbf\xfdu\xcb\x85\x99)\xb4\x9a\x8c\xf1\x0c\xc8\x06\x12\xa9\xaa\x96\xe6X6l)N\xca"\xa6\xadf\xb7p\xb0\x01\xe8k\xb17\xed\xe8\xb4=\x14\x91@\xc6w\x87\'\xf97b\xae&!Dr\xb8\x11Z\xc6'
b'\x81\xedq\x83Q\x8bs\x11\xa8h\x05\xf7\xb5\x12(\xbf\xfa3H\x8c\xd0\xea~\xcc\x85\x99L\xa7\x90\xe0\xf3c\xd5\x0b\x15\xb3\xae\xf2\xf91_w9B\xba,\xca\xd5\t\xb0v\xb9\x08\x81j\xb91\x9f\xe2\xc0:{\x8d@\xb4n\x87U\xee9\x0f\xda;@T\x7f\xb4\x05^\xc6'

c1 xor c2 (hex): 041a1503100275046d0e6e1800630e1b656102196f170b07000065130a6c026f1d0d071a04641f69691b100c700e6c786f0706090969010806720a74076f1c0072190072170e6d741d61100d0c140400

[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRAS] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O C'



A abordagem adotada foi testar algumas primeiras palavras, e ver se a sa√≠da tinha alguma l√≥gica. Por exemplo:

`[crib=      ATAQUE] pos=000  ->  'ENTREG'` significa que, se o primeiro plaintext (p1) contiver o texto `ATAQUE` come√ßando na posi√ß√£o `0`,
ent√£o o outro plaintext (p2) ter√° `ENTREG` nesse mesmo trecho, o que faz bastante sentido, pois s√£o trechos que fazem sentido l√≥gicamente.

Da mesma forma `[crib=      AMANHA] pos=007  ->  'E O PA'`, na posi√ß√£o 7 tamb√©m faz.

Considerando que a mensagem come√ßa com algo como **ENTREG?E O PA** podemos imaginar que a segunda palavra seja *PACOTE* talvez, e nesse caso a linha `[crib=          AO] pos=014  ->  'OT'` faria sentido.

At√© agora o que temos √© portanto:
- `ENTREG?E O PA?OT?` para a mensagem 1
- `ATAQUE AMANHA AO` para a mensagem 2

Ap√≥s isso, o racioc√≠onio foi, na posi√ß√£o 17 - depois de `AO`, provavelmente √© um espa√ßo em branco "` `", e ap√≥s usar o crib como cada letra do alfabeto, procuramos para qual letra obtem-se um espa√ßo, que foi a letra `A`:

`[crib=           A] pos=017  ->  ' '`

Portanto, muito provavelmente, a palavra come√ßa com `A`.

Testando algo como **ENTREGUE O PACOTE NO ...**, por exemplo:

`[crib=ENTREGUE O PACOTE NO LABORATORIO] pos=000  ->  'ATAQUE AMANHA AO ALVO[JEOR$GE>K '`

A sa√≠da tem a palavra `ALVO`, o que faz sentido.

Daqui em diante foram sendo testadas palavras que poderiam ser a continua√ß√£o das frases e a sa√≠da foi observada para ver se havia algum sentido, at√© se chegar nas frases completas ap√≥s algumas boas tentativas. As sequ√™ncias testadas que faziam sentido e obtidas foram:

- `[crib=ENTREGUE O PACOTE NO ENDERECO] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PE'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COM] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA P'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO ] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PI'`

- `[crib=ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL] pos=000  ->  'ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O '`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO ] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFI'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O H'`

- `[crib=ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO] pos=000  ->  'ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PO'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO CO'`

- `[crib=ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O] pos=000  ->  'ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TR'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRAS] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O C'`

- `[crib=ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRASEIRA.] pos=000  ->  'ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O CHEFE.'`

Portanto as duas primeiras mensagems s√£o:

`ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O CHEFE.`

e

`ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRASEIRA.`

.

## Exerc√≠cio #2: Recupera√ß√£o da Chave

Se uma ou mais mensagens originais forem totalmente recuperadas, √© poss√≠vel tentar reconstruir **a chave secreta** utilizada no processo de criptografia. Isso funciona porque em um sistema de cifra XOR simples: `c = m ‚äï k`, e portanto: `k = c ‚äï m`. Se `m` for conhecido e `c` (ciphertext) tamb√©m for conhecido, basta aplicar XOR entre eles para obter a chave `k`.

üß™ **Desafio:** ap√≥s recuperar um plaintext completo usando *crib-dragging*, calcule a chave correspondente aplicando `k = c ‚äï p` e tente usar essa chave para decifrar os demais ciphertexts(o que indica reuso de OTP) ou se foi alterada em diferentes trechos.

---



---

_Solu√ß√£o:_

Agora basta fazer o *xor* da primeira mensagem original com a primeira mensagem cifrada para obtermos a *key*, e ent√£o fazer o *xor* das mensagens cifradas com a *key* para obtermos as mensagens originais:

In [4]:
plaintext = "ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O CHEFE."
plain = plaintext.encode("ascii")

key = xor_bytes(c1, plain)

cts_hex = ["85f7648041890615c5666befb57126a49f524a95bffd75cb859929b49a8cf10cc80612a9aa96e658366c294eca22a6ad66b770b001e86bb137ede8b43d149140c6778727f93762ae26214472b8115ac6",
"81ed7183518b7311a86805f7b51228bffa33488cd0ea7ecc85994ca790e0f363d50b15b3aef2f9315f773942ba2ccad509b076b908816ab9319fe2c03a7b8d40b46e8755ee390fda3b40547fb4055ec6",
"858376945a846774cc6805f4b10331a2fb5c54e3b6e079a881875da18d81f46db80113b7aa8d964b296b3942ba22cad317a176ae028169b93e8287d73415824db46c8d54ff2a79cf2d4e29",
"8b83759d55826974ce686c87b5152eaafb5c2693bffd10dd8d8a29b79a8df162d9727cb0aef8e24f316a2b27db43b8d912bd71bf67ef76ae3f8cebb4340f8621da719e489a3979c73a4e29",
"96e6709f5d8d6974dc7564e9a71722b9f65747e3a0ee62c9e08a29aa9089e469a3690ab8bdfff0433c633827de2ab9c609ba76bc0eed70b83389e2b4311ae352d5728927eb2d6eda3b4e29",
"87e27783518b6719cd6971e8d4122faef8522682bdee7ec081eb4aa19b8f8b0cc81b19adaee4f32a30022d55cf33a5b608b51fbb09f56bbd368c87d830089744b47a8927f8397ccb47",
"87ec6b975d9e6b11a8746087bb7126a7e95c2695b9ee7ac795f029a79e93ff0cc8060fb4bbffe04553022b43d322b8b609a47aac06e278b3529de8c655088646c16c8949f93901",
"80ec668459896800c77405e2a70526a49f5d49e3b3e076da85eb4bdfff90f56bcd0c7cbcbff3f84b2c022948ca2aabc566b11fa808ed6db9528ce9c03008e345db1e8542f3370fca204029"
]

for i, ch in enumerate(cts_hex, start=1):
    try:
        ct = bytes.fromhex(ch)
    except Exception as e:
        print(f"[{i}] ERRO ao converter hex -> bytes: {e}")
        continue


    msg_original = xor_bytes(ct, key)
    decoded = msg_original.decode('ascii')
    print(f"\n[{i}] (len {len(ct)}):\n{decoded}")



[1] (len 80):
ATAQUE AMANHA AO ALVORECER PELA PONTE PRINCIPAL; CONFIRME O HORARIO COM O CHEFE.

[2] (len 80):
ENTREGUE O PACOTE NO ENDERECO COMBINADO; USE O CODIGO SECRETO NA PORTA TRASEIRA.

[3] (len 75):
A SENHA DO SERVIDOR FOI ALTERADA HOJE; AVISE A EQUIPE PELO CANAL RESERVADO.

[4] (len 75):
O PLANO FOI ADIADO POR UMA SEMANA; MANTENHA A ROTINA NORMAL ATE NOVO AVISO.

[5] (len 75):
REUNIAO TRANSFERIDA PARA A NOITE; VERIFICAR DISPONIBILIDADE DA SALA QUATRO.

[6] (len 73):
CARREGAMENTO CHEGA AMANHA CEDO; PREPARE O GRUPO NA ENTRADA LESTE DA BASE.

[7] (len 71):
CONFIRME SE O ALVO VIAJOU; CASO POSITIVO, ADIAR OPERACAO POR SEGURANCA.

[8] (len 75):
DOCUMENTOS ESTAO NO COFRE B; PEGUE APENAS COPIAS E VOLTE ANTES DO MEIO DIA.


# **Mini-DES (Data Encryption Standard)**

## üéØObjetivo

Este exerc√≠cio visa a implementa√ß√£o de uma cifra de Feistel simplificada inspirada no DES (Mini-DES). Ao final, voc√™ dever√° ser capaz de:
- Explicar como funciona uma **rede de Feistel** e por que a decripta√ß√£o √© equivalente √† cifra√ß√£o usando as chaves de rodada em **ordem inversa**.
- Implementar os componentes centrais de uma cifra de bloco: **fun√ß√£o de rodada** \(F\), **S-boxes**, **permuta√ß√£o** e um **agendamento de chaves** simples.
- Avaliar experimentalmente propriedades b√°sicas de seguran√ßa (por exemplo, **efeito avalanche**).

---
## Utilit√°rios de bits e permuta√ß√µes

No Mini-DES manipulamos pequenos inteiros como sequ√™ncias de 16 bits. Abaixo est√£o algumas fun√ß√µes de apoio para:
- Extrair e definir bits;  
- Rotacionar √† esquerda em pequenas unidades;  
- Aplicar uma permuta√ß√£o a partir de uma tabela baseada em √≠ndices iniciando em 1 (lista de posi√ß√µes).

---
## Esqueleto da Rede de Feistel (bloco de 16 bits, 4 rodadas)

Nosso Mini-DES opera sobre um **bloco de 16 bits**, dividido em duas metades:

- $L_0$: 8 bits da esquerda (lado do MSB)  
- $R_0$: 8 bits da direita (lado do LSB)  

Cada rodada segue a seguinte transforma√ß√£o:

$L_{i+1}$ = $R_i$;

$R_{i+1}$ = $L_i$ ‚äï $F(R_i, K_i)$.

---
## A Fun√ß√£o de Rodada \(F\)

1. **Expans√£o:** 8 ‚Üí 12 bits (duplicar/reordenar alguns bits).
2. **Mistura com chave:** XOR com a chave de rodada de 12 bits \($K_i$\).
3. **Substitui√ß√£o:** Dividir em tr√™s nibbles de 4 bits ‚Üí passar cada um por uma S-box (4‚Üí3).
4. **Permuta√ß√£o:** Permutar os 9 bits de sa√≠da.
5. **Truncamento:** Manter os **8 bits mais significativos** como sa√≠da de \(F\).

> Voc√™ pode personalizar S-boxes e permuta√ß√µes, mas mantenha-as **fixas** tanto na cifra√ß√£o quanto na decifra√ß√£o.

---








In [5]:
# Mini-DES (16-bit block, 12-bit key, 4 rounds)

from typing import List, Tuple

# =========================
# Par√¢metros do Mini-DES
# =========================
ROUND_COUNT = 4  # 4 rodadas

# Expans√£o 8 -> 12 (1-based; pos1 = MSB do input de 8 bits)
E_TABLE = [1, 2, 3, 4, 5, 4, 5, 6, 7, 8, 8, 1]

# Tr√™s S-Boxes simples (4 bits -> 3 bits), organizadas como 4x4 (linhas x colunas)
SBOX1 = [
    [0b000, 0b101, 0b111, 0b010],
    [0b110, 0b001, 0b011, 0b100],
    [0b011, 0b111, 0b000, 0b110],
    [0b101, 0b010, 0b100, 0b001],
]

SBOX2 = [
    [0b100, 0b010, 0b001, 0b111],
    [0b011, 0b101, 0b110, 0b000],
    [0b000, 0b110, 0b101, 0b011],
    [0b111, 0b001, 0b010, 0b100],
]

SBOX3 = [
    [0b001, 0b011, 0b101, 0b110],
    [0b010, 0b111, 0b000, 0b100],
    [0b110, 0b000, 0b011, 0b001],
    [0b101, 0b100, 0b010, 0b111],
]

# Permuta√ß√£o sobre 9 bits (1-based; pos1 = MSB do input de 9 bits)
P9_TABLE = [9, 5, 1, 6, 2, 7, 3, 8, 4]

# Key schedule: sele√ß√£o/permuta√ß√£o de 12 posi√ß√µes (1-based; pos1 = MSB)
KS_TABLE = [1, 3, 5, 7, 9, 11, 2, 4, 6, 8, 10, 12]


In [6]:
# =========================
# Utilit√°rios de bits
# =========================
def get_bit(x: int, pos_from_right: int) -> int:
    """Retorna o bit na posi√ß√£o 'pos_from_right' (0 = LSB)."""
    return (x >> pos_from_right) & 1

def apply_permutation(x: int, in_width: int, table_1based: List[int]) -> int:
    """
    Aplica permuta√ß√£o 1-based onde '1' refere-se ao MSB do input.
    Retorna um inteiro com len(table) bits (MSB primeiro).
    """
    out = 0
    for src_pos_1based in table_1based:
        src_from_right = in_width - src_pos_1based  # converte MSB-1-based -> LSB-0-based
        b = get_bit(x, src_from_right)
        out = (out << 1) | b
    return out

def left_rotate(x: int, width: int, s: int) -> int:
    """Rota√ß√£o √† esquerda de 'width' bits."""
    s %= width
    mask = (1 << width) - 1
    return ((x << s) & mask) | (x >> (width - s))


In [7]:
# =========================
# Bloco 16 bits e schedule
# =========================
def split_block_16(x16: int) -> Tuple[int, int]:
    """Divide 16 bits em (L0, R0), 8 bits cada."""
    assert 0 <= x16 < (1 << 16)
    return (x16 >> 8) & 0xFF, x16 & 0xFF

def join_block_16(L: int, R: int) -> int:
    """Une (L,R) de 8 bits em um inteiro de 16 bits."""
    return ((L & 0xFF) << 8) | (R & 0xFF)

def key_schedule_12_to_rounds(master_k12: int) -> List[int]:
    """
    Gera 4 subchaves de 12 bits a partir de uma chave mestra de 12 bits.
    Estrat√©gia: rotaciona K por i (i=1..4) e aplica KS_TABLE (12->12).
    """
    assert 0 <= master_k12 < (1 << 12)
    keys = []
    for i in range(1, ROUND_COUNT + 1):
        rotated = left_rotate(master_k12, 12, i)
        k_i = apply_permutation(rotated, 12, KS_TABLE)
        keys.append(k_i)
    return keys

In [8]:
# =========================
# Fun√ß√£o de rodada F
# =========================
def sbox_4to3(sbox: List[List[int]], nibble: int) -> int:
    """
    Aplica uma S-Box 4->3 (4x4).
    Usa bits externos como linha (b3,b0) e internos como coluna (b2,b1).
    """
    assert 0 <= nibble < 16
    b3 = (nibble >> 3) & 1
    b2 = (nibble >> 2) & 1
    b1 = (nibble >> 1) & 1
    b0 = nibble & 1
    row = (b3 << 1) | b0     # 0..3
    col = (b2 << 1) | b1     # 0..3
    return sbox[row][col] & 0b111

def expand_8_to_12(r8: int) -> int:
    """Expans√£o 8->12 via E_TABLE."""
    return apply_permutation(r8, 8, E_TABLE)

def F_round(r8: int, k12: int) -> int:
    """
    Mini-DES F:
      1) Expans√£o 8->12
      2) XOR com subchave (12 bits)
      3) 3 S-Boxes (4->3) => 9 bits
      4) Permuta√ß√£o P9
      5) Truncamento para 8 bits (mant√©m MSBs)
    """
    assert 0 <= r8 < (1 << 8)
    assert 0 <= k12 < (1 << 12)

    e = expand_8_to_12(r8)   # 12 bits
    x = e ^ k12              # 12 bits

    # Tr√™s nibbles de 4 bits (MSB -> LSB)
    n1 = (x >> 8) & 0xF
    n2 = (x >> 4) & 0xF
    n3 = x & 0xF

    y1 = sbox_4to3(SBOX1, n1)
    y2 = sbox_4to3(SBOX2, n2)
    y3 = sbox_4to3(SBOX3, n3)

    y9 = (y1 << 6) | (y2 << 3) | y3  # 9 bits
    p = apply_permutation(y9, 9, P9_TABLE)  # 9 bits

    return (p >> 1) & 0xFF  # fica com 8 bits (MSBs)

In [9]:
# =========================
# Cifrar/decifrar 1 bloco
# =========================
def encrypt_block_minides(pt16: int, round_keys: List[int]) -> int:
    """Cifra um bloco de 16 bits com 4 rodadas Feistel."""
    assert len(round_keys) == ROUND_COUNT
    L, R = split_block_16(pt16)
    for i in range(ROUND_COUNT):
        L, R = R, L ^ F_round(R, round_keys[i])
    # swap final como no DES
    L, R = R, L
    return join_block_16(L, R)

def decrypt_block_minides(ct16: int, round_keys: List[int]) -> int:
    """Decifra um bloco de 16 bits (Feistel = mesmas fun√ß√µes, chaves invertidas)."""
    return encrypt_block_minides(ct16, round_keys[::-1])

In [10]:
# =========================
# Demonstra√ß√£o / Testes
# =========================
if __name__ == "__main__":
    # Exemplo: chave 12b e round keys
    k12 = 0xA53  # 12 bits
    rkeys = key_schedule_12_to_rounds(k12)

    # Round-trip: cifrar e decifrar volta ao original
    pt = 0xD72E
    ct = encrypt_block_minides(pt, rkeys)
    pt2 = decrypt_block_minides(ct, rkeys)
    print(f"PT=0x{pt:04X} -> CT=0x{ct:04X} -> PT' = 0x{pt2:04X}")
    assert pt == pt2, "Round-trip falhou!"

PT=0xD72E -> CT=0xD3B5 -> PT' = 0xD72E


## üß∞ Tarefas

O **Mini-DES** que voc√™ implementou at√© agora funciona sobre **blocos fixos de 16 bits** ‚Äî ou seja, sobre **2 bytes** (2 caracteres ASCII) por vez. Para aplic√°-lo a uma **mensagem real em texto** (por exemplo, `"Seguranca e Criptografia"`), precisamos resolver **tr√™s desafios pr√°ticos**:

1. **Convers√£o texto ‚ÜîÔ∏è bits:** transformar cada caractere ASCII em sua representa√ß√£o bin√°ria (8 bits) e agrupar em blocos de 16 bits.  
2. **Padding:** se o n√∫mero total de bits n√£o for m√∫ltiplo de 16, preencher o √∫ltimo bloco com bits extras (por exemplo, `0x00`).  
3. **Itera√ß√£o:** aplicar a cifra bloco a bloco, concatenando os resultados para formar a mensagem cifrada completa.

Este processo reflete o que as cifras de bloco reais fazem no mundo pr√°tico e permite que os alunos compreendam como construir **cifras de mensagens completas** a partir de **fun√ß√µes de bloco**.

---

## Exerc√≠cio #3:  Convers√£o ASCII para blocos de 16 bits

Criar fun√ß√µes auxiliares para converter mensagens em blocos cifr√°veis.

1. Implemente uma fun√ß√£o `text_to_blocks(texto: str) -> List[int]` que:
   - Codifique cada par de caracteres ASCII de 8 bits em um  bloco de 16 bits.
   - Aplique **padding `0x00`** no final se necess√°rio.

2. Implemente a fun√ß√£o inversa `blocks_to_text(blocos: List[int]) -> str`.

---

### ‚úÖ Teste

```python
text = "Oi!"
blocos = text_to_blocks(text)      # [0x4F69, 0x2100]
texto2 = blocks_to_text(blocos)    # "Oi!"


---

_Solu√ß√£o:_

In [11]:
def _is_ascii_like(s: str) -> bool:
    try:
        s.encode("ascii")
        return True
    except UnicodeEncodeError:
        return False

def text_to_blocks(text: str) -> List[int]:
    # converter texto ascii em blocos de 16 bits
    # padding de 0x00 no ultimo byte se necessario
    # bytes expl√≠citos (sem normaliza√ß√£o)
    data = text.encode("latin1", errors="strict") if _is_ascii_like(text) else text.encode("utf-8")

    blocks: List[int] = []
    i = 0
    n = len(data)
    while i < n:
        b1 = data[i]
        b2 = data[i + 1] if (i + 1) < n else 0x00  # padding '0x00'
        block = (b1 << 8) | b2
        blocks.append(block)
        i += 2
    return blocks

def blocks_to_text(blocks: List[int]) -> str:
    # converter blocos de 16 bits de volta para texto.
    # remove bytes 0x00 finais (padding do √∫ltimo bloco)
    bytes_out = bytearray()
    for blk in blocks:
        b1 = (blk >> 8) & 0xFF
        b2 = blk & 0xFF
        bytes_out.append(b1)
        bytes_out.append(b2)

    # Remover padding 0x00 no fim
    while bytes_out and bytes_out[-1] == 0x00:
        bytes_out.pop()

    # Voltamos para str assumindo
    return bytes_out.decode("latin1")

In [12]:
text = "Oi!"
blocos = text_to_blocks(text)
print("Blocos (hex):", [f"0x{b:04X}" for b in blocos])
texto2 = blocks_to_text(blocos)
print("Texto reconstruido:", repr(texto2), "\n")

Blocos (hex): ['0x4F69', '0x2100']
Texto reconstruido: 'Oi!' 



## Exerc√≠cio #4: Cifrar e decifrar mensagens completas

Combinar sua fun√ß√£o de cifragem de bloco com a convers√£o de texto para permitir a cifragem de mensagens completas em ASCII.

1. Implemente a fun√ß√£o `encrypt_message(texto: str, key: int) -> List[int]` que:
   - Converte a mensagem em blocos de 16 bits usando `text_to_blocks`.
   - Gera as 4 subchaves a partir da chave key usando `key_schedule_12_to_rounds`.
   - Cifra cada bloco com `encrypt_block_minides`.
   - Retorna a lista de blocos cifrados.

2. Implemente a fun√ß√£o `decrypt_message(blocos: List[int], key: int) -> str` que:
   - Decifra cada bloco usando `decrypt_block_minides`.
   - Converte os blocos de volta para texto ASCII usando `blocks_to_text`.

---

### ‚úÖ Teste

```python
msg = "Seguranca e Criptografia"
cipher_blocks = encrypt_message(msg, 0xA53)
plain_text = decrypt_message(cipher_blocks, 0xA53)
assert plain_text.startswith("Seguranca")


---

_Solu√ß√£o:_

In [13]:
def encrypt_message(texto: str, key: int) -> List[int]:
    assert 0 <= key < (1 << 12), "A chave deve ter 12 bits!"
    pt_blocks = text_to_blocks(texto)
    rkeys = key_schedule_12_to_rounds(key)
    ct_blocks = [encrypt_block_minides(b, rkeys) for b in pt_blocks]
    return ct_blocks

def decrypt_message(blocos: List[int], key: int) -> str:
    assert 0 <= key < (1 << 12), "A chave deve ter 12 bits!"
    rkeys = key_schedule_12_to_rounds(key)
    rec_blocks = [decrypt_block_minides(b, rkeys) for b in blocos]
    return blocks_to_text(rec_blocks)

In [14]:
msg = "Seguranca e Criptografia"
cipher_blocks = encrypt_message(msg, 0xA53)
plain_text = decrypt_message(cipher_blocks, 0xA53)
assert plain_text.startswith("Seguranca")

print("CT blocks:", [f"0x{b:04X}" for b in cipher_blocks])
print("Texto reconstruido:", plain_text)

CT blocks: ['0x1014', '0x451A', '0x7ACE', '0xC6FF', '0x05AA', '0x36BC', '0x7CC5', '0x4B5C', '0x503A', '0x85FB', '0x35BD', '0xA393']
Texto reconstruido: Seguranca e Criptografia


## Exerc√≠cio #5: Exibir o processo interno de cada rodada

Compreender em detalhes como a cifra opera internamente ao longo das rodadas do Mini-DES.

1. Modifique a fun√ß√£o `encrypt_block_minides` para **imprimir os valores de `L` e `R` em cada rodada**.  
2. Exiba tamb√©m o resultado da fun√ß√£o \( F \) em cada etapa:
   - Ap√≥s a **expans√£o**
   - Ap√≥s o **XOR com a subchave**
   - Ap√≥s as **S-Boxes**
   - Ap√≥s a **permuta√ß√£o**

3. Analise a evolu√ß√£o dos valores ao longo das 4 rodadas para diferentes entradas.

---

### üìä Perguntas para discuss√£o

- Como a troca de um √∫nico caractere no texto original muda o resultado final?  
- Quantos bits mudam no ciphertext ao inverter **1 bit** do plaintext? (*efeito avalanche*)

---

### ‚úÖ Dica

Use `print()` ou `logging` para exibir as vari√°veis a cada rodada. Isso ajuda a visualizar o processo de confus√£o e difus√£o em a√ß√£o.


In [15]:
def print_F_round(r8: int, k12: int) -> int:
    """Mini-DES F (com depura√ß√£o detalhada)."""
    e = expand_8_to_12(r8)
    x = e ^ k12

    print(f"  [F] R = {r8:08b}")
    print(f"  [F] Expans√£o E(R) = {e:012b}")
    print(f"  [F] XOR com chave = {x:012b}")

    n1 = (x >> 8) & 0xF
    n2 = (x >> 4) & 0xF
    n3 = x & 0xF

    y1 = sbox_4to3(SBOX1, n1)
    y2 = sbox_4to3(SBOX2, n2)
    y3 = sbox_4to3(SBOX3, n3)
    y9 = (y1 << 6) | (y2 << 3) | y3

    print(f"  [F] S-boxes => y1={y1:03b}, y2={y2:03b}, y3={y3:03b}")
    print(f"  [F] Sa√≠da S-boxes (9 bits) = {y9:09b}")

    p = apply_permutation(y9, 9, P9_TABLE)
    print(f"  [F] Ap√≥s permuta√ß√£o P9 = {p:09b}")

    f8 = (p >> 1) & 0xFF
    print(f"  [F] Resultado final F(R,K) = {f8:08b}")
    return f8


def print_encrypt_block_minides(pt16: int, round_keys: List[int]) -> int:
    """Cifra um bloco de 16 bits com 4 rodadas Feistel (com depura√ß√£o)."""
    assert len(round_keys) == ROUND_COUNT
    L, R = split_block_16(pt16)

    print(f"\n[In√≠cio do bloco] PT={pt16:016b}  L0={L:08b}  R0={R:08b}")

    for i in range(ROUND_COUNT):
        print(f"\n--- Rodada {i+1} ---")
        print(f"Subchave (K{i+1}) = {round_keys[i]:012b}")
        print(f"L{i} = {L:08b}")
        print(f"R{i} = {R:08b}")

        f_out = print_F_round(R, round_keys[i])  # Agora executa F ap√≥s o cabe√ßalho
        print(f"F(R{i}, K{i+1}) = {f_out:08b}")

        L, R = R, L ^ f_out
        print(f"L{i+1} = {L:08b}")
        print(f"R{i+1} = {R:08b}")

    # swap final
    L, R = R, L
    ct = join_block_16(L, R)
    print(f"\n[Sa√≠da final] CT={ct:016b} (L4={L:08b}  R4={R:08b})")
    return ct

def print_encrypt_message(texto: str, key: int) -> List[int]:
    assert 0 <= key < (1 << 12), "A chave deve ter 12 bits!"
    pt_blocks = text_to_blocks(texto)
    rkeys = key_schedule_12_to_rounds(key)
    ct_blocks = [print_encrypt_block_minides(b, rkeys) for b in pt_blocks]
    return ct_blocks


In [16]:
msg = "Seguranca e Criptografia"
cipher_blocks = print_encrypt_message(msg, 0xA53)
plain_text = decrypt_message(cipher_blocks, 0xA53)
assert plain_text.startswith("Seguranca")

print("CT blocks:", [f"0x{b:04X}" for b in cipher_blocks])
print("Texto reconstruido:", plain_text)


[In√≠cio do bloco] PT=0101001101100101  L0=01010011  R0=01100101

--- Rodada 1 ---
Subchave (K1) = 001101100011
L0 = 01010011
R0 = 01100101
  [F] R = 01100101
  [F] Expans√£o E(R) = 011000010110
  [F] XOR com chave = 010101110101
  [F] S-boxes => y1=011, y2=000, y3=000
  [F] Sa√≠da S-boxes (9 bits) = 011000000
  [F] Ap√≥s permuta√ß√£o P9 = 000010100
  [F] Resultado final F(R,K) = 00001010
F(R0, K1) = 00001010
L1 = 01100101
R1 = 01011001

--- Rodada 2 ---
Subchave (K2) = 100011011010
L1 = 01100101
R1 = 01011001
  [F] R = 01011001
  [F] Expans√£o E(R) = 010111100110
  [F] XOR com chave = 110100111100
  [F] S-boxes => y1=100, y2=101, y3=011
  [F] Sa√≠da S-boxes (9 bits) = 100101011
  [F] Ap√≥s permuta√ß√£o P9 = 101100011
  [F] Resultado final F(R,K) = 10110001
F(R1, K2) = 10110001
L2 = 01011001
R2 = 11010100

--- Rodada 3 ---
Subchave (K3) = 011010000111
L2 = 01011001
R2 = 11010100
  [F] R = 11010100
  [F] Expans√£o E(R) = 110101010001
  [F] XOR com chave = 101111010110
  [F] S-boxes => 

## Exerc√≠cio #6: Medir o efeito avalanche em mensagens

Analisar como pequenas altera√ß√µes no texto original impactam significativamente o resultado cifrado, explorando o conceito de **efeito avalanche**.

1. Crie varios pares de mensagens que diferem em **apenas 1 caractere**.  
2. Cifre os pares utilizando a mesma chave e compare os resultados.  
3. Calcule a **dist√¢ncia de Hamming** entre os dois ciphertexts (quantidade de bits diferentes).  
4. Analise se a cifra apresenta um bom efeito avalanche (idealmente, cerca de 50% dos bits devem mudar).

---

### üí° Exemplo

```python
texto_a = "Seguranca"
texto_b = "Teguranca"  # apenas a primeira letra mudou

cipher_a = encrypt_message(texto_a, 0xA53)
cipher_b = encrypt_message(texto_b, 0xA53)

# Calcular a dist√¢ncia de Hamming entre os ciphertexts
hamming = sum(bin(a ^ b).count("1") for a, b in zip(cipher_a, cipher_b))
print(f"Hamming distance: {hamming} bits")


In [17]:
texto_a = "Burro"
texto_b = "Murro"

cipher_a = encrypt_message(texto_a, 0xA53)
cipher_b = encrypt_message(texto_b, 0xA53)

# Calcular a dist√¢ncia de Hamming entre os ciphertexts
hamming = sum(bin(a ^ b).count("1") for a, b in zip(cipher_a, cipher_b))
total_bits = len(cipher_a) * 16
porcentagem = (hamming / total_bits) * 100

print(f"Dist√¢ncia de Hamming: {hamming} bits ({porcentagem:.1f}% diferentes)")

#Testando com outro conjunto
texto_a = "segundotextoparateste"
texto_b = "segundotextiparateste"

cipher_a = encrypt_message(texto_a, 0xA53)
cipher_b = encrypt_message(texto_b, 0xA53)

# Calcular a dist√¢ncia de Hamming entre os ciphertexts
hamming = sum(bin(a ^ b).count("1") for a, b in zip(cipher_a, cipher_b))
total_bits = len(cipher_a) * 16
porcentagem = (hamming / total_bits) * 100

print(f"Dist√¢ncia de Hamming: {hamming} bits ({porcentagem:.1f}% diferentes)")


Dist√¢ncia de Hamming: 6 bits (12.5% diferentes)
Dist√¢ncia de Hamming: 6 bits (3.4% diferentes)


Analisando a dist√¢ncia de Hamming entre os dois ciphertexts, √© poss√≠vel notar que est√£o bem abaixo do ideal, mesmo testando com dois textos de tamanhos diferentes.
A diferen√ßa entre eles foi apenas uma letra, os dois tiveram o resultado de 6 bits de dist√¢ncia, mas, para o texto maior, a porcentagem foi menor devido √† propor√ß√£o em rela√ß√£o ao total de bits do texto todo.
Esse resultado n√£o indica que o DES seja ruim, at√© porque aqui foi utilizado o Mini-DES, uma vers√£o simplificada com apenas 4 rodadas.

##Exerc√≠cio #7: Ataque de For√ßa Bruta √† Chave de 12 bits (Mini-DES)

Implementar um ataque de for√ßa bruta para **descobrir a chave mestra de 12 bits** do Mini-DES, a partir de pares **texto-plano ‚ÜîÔ∏è texto-cifrado** conhecidos.

Nosso Mini-DES usa **chaves de 12 bits**, ou seja, h√° apenas **\(2^{12} = 4096\)** chaves poss√≠veis. Isso √© **extremamente pequeno** e permite um ataque de for√ßa bruta **muito r√°pido** em um computador comum (tipicamente **milissegundos** a **fra√ß√µes de segundo** em Python, dependendo da implementa√ß√£o e do tamanho da mensagem).

1. **Cen√°rio de teste (gera√ß√£o do desafio):**
   - Escolha uma **chave mestra de 12 bits** (por exemplo, `0xA53`).
   - Escolha uma **mensagem curta** (ex.: `"mini des test"`).
   - Cifre a mensagem com `encrypt_message(...)` para obter os **blocos cifrados**.
   - Guarde **pelo menos um par** `(PT16, CT16)` correspondente a **1 bloco de 16 bits** (ou, de prefer√™ncia, **2 blocos** para reduzir colis√µes).

2. **Implementar a busca exaustiva:**
   - Para cada chave candidata `k` em `0..4095`:
     - Gere as `round_keys = key_schedule_12_to_rounds(k)`.
     - Cifre o(s) bloco(s) conhecido(s) com `encrypt_block_minides(...)`.
     - **Compare** com o(s) `CT16` conhecido(s).
     - Se **bater**, salve `k` como **candidato**.
   - Se houver **mais de um candidato**, verifique com **um segundo bloco** (ou toda a mensagem) para decidir a chave correta.

---


In [18]:
# 1. Cen√°rio de teste(gera√ß√£o de desafio)

msg = "crazy mini text"                     #plain text
pt_blocks = text_to_blocks(msg)             #plain text in blocks
rkeys = key_schedule_12_to_rounds(0xA53)

cipher_blocks = encrypt_message(msg, 0xA53)
print("CT blocks:", [f"0x{b:04X}" for b in cipher_blocks])


ct1 = cipher_blocks[1]
ct2 = cipher_blocks[2]


# 2. Implementar a busca exaustiva

for i in range(0, 4096):
    round_keys = key_schedule_12_to_rounds(i) #round keys

    c1 = encrypt_block_minides(pt_blocks[1], round_keys)    #criptografando um bloco
    c2 = encrypt_block_minides(pt_blocks[2], round_keys)

    if(ct1 == c1):
        print("match key1 ="+hex(i))
    if(ct2 == c2):
        print("match key2 ="+hex(i))
    if(ct1 == c1 and ct2 == c2):
        k = hex(i)

print("Chave pelo ataque de for√ßa bruta :"+k)


CT blocks: ['0x1CCD', '0xAADF', '0x55CA', '0x0B68', '0x51B0', '0x62BB', '0xA187', '0xB126']
match key1 =0x9c4
match key1 =0xa53
match key2 =0xa53
Chave pelo ataque de for√ßa bruta :0xa53


# **AES (Advanced Encryption Standard)**

### üéØ Objetivo:

Compreender na pr√°tica o funcionamento de uma cifra sim√©trica moderna (**AES**) aplicando os conceitos de:

- Gera√ß√£o e uso de chaves secretas  
- Modos de opera√ß√£o (ex.: CBC)  
- Padding e alinhamento de blocos  
- Processo completo de cifrar e decifrar mensagens em texto

---




### üß∞ Tarefas
‚ÄúCofre de mensagens‚Äù: nesta tarefa, voc√™ vai observar a implementa√ß√£o de um pequeno programa capaz de:

1. **Gerar uma chave AES aleat√≥ria**  
2. **Cifrar** uma mensagem de texto digitada pelo usu√°rio  
3. **Exibir o ciphertext** em formato hexadecimal  
4. **Decifrar** o ciphertext de volta para o texto original

---

In [19]:
!pip install pycryptodome

Collecting pycryptodome
  Downloading pycryptodome-3.23.0-cp37-abi3-manylinux_2_17_x86_64.manylinux2014_x86_64.whl.metadata (3.4 kB)
Downloading pycryptodome-3.23.0-cp37-abi3-manylinux_2_17_x86_64.manylinux2014_x86_64.whl (2.3 MB)
[?25l   [90m‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ[0m [32m0.0/2.3 MB[0m [31m?[0m eta [36m-:--:--[0m[2K   [91m‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ[0m[91m‚ï∏[0m[90m‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ[0m [32m0.7/2.3 MB[0m [31m22.6 MB/s[0m eta [36m0:00:01[0m[2K   [90m‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ‚îÅ[0m [32m2.3/2.3 MB[0m [31m30.0 MB/s[0m eta [36m0:00:00[0m
[?25hInstalling collected packages: pycryptodome
Successfully installed pycryptodome-3.23.0


In [20]:
from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
from Crypto.Random import get_random_bytes

# Gera√ß√£o de chave AES de 128 bits (16 bytes)
key = get_random_bytes(16)

# Cria√ß√£o do objeto de cifra no modo CBC com IV aleat√≥rio
cipher = AES.new(key, AES.MODE_CBC)
iv = cipher.iv

In [21]:
plaintext = input("Digite a mensagem a ser cifrada: ").encode()

# Aplica√ß√£o do padding e cifragem
ciphertext = cipher.encrypt(pad(plaintext, AES.block_size))

print("Ciphertext (hex):", ciphertext.hex())


Digite a mensagem a ser cifrada: elder
Ciphertext (hex): d80ffb42e07f4c901c48539de7f2c112


In [22]:
# Criando objeto de decifragem com a mesma chave e IV
decipher = AES.new(key, AES.MODE_CBC, iv=iv)

# Removendo o padding e recuperando a mensagem original
decrypted = unpad(decipher.decrypt(ciphertext), AES.block_size)

print("Mensagem decifrada:", decrypted.decode())


Mensagem decifrada: elder


##Exerc√≠cio #8: Perguntas para discuss√£o

- ‚ùì O que acontece se voc√™ tentar **decifrar com a chave errada**? Experimente!
- üîÑ O que muda se voc√™ **alterar o IV**? Experimente e tente explicar.  
- üìè Por que precisamos aplicar **padding** antes da cifragem? O que ocorre se a mensagem j√° tiver **m√∫ltiplos de 16 bytes**?


#O que acontece se voc√™ tentar decifrar com a chave errada?
Com a chave errada, normalmente d√° "padding is incorrect" pois desorganiza a mensagem e ao passar no mecanismo para remover o padding, ele detecta erro, pelo fato do padr√£o est√° incorreto, mesmo se ele conseguir tirar o padding a mensagem ser√° algo muito diferente do plain text original.

In [23]:
# Tentando decifrar com chave errada

wrong_key = get_random_bytes(16)  #Gerando nova chave

# Criando objeto de decifragem com a chave nova e mesmo vetor inicial
wrong_decipher = AES.new(wrong_key, AES.MODE_CBC, iv=iv)

try:
    wrong_decrypted = unpad(wrong_decipher.decrypt(ciphertext), AES.block_size)
    print("Mensagem decifrada com chave errada:", wrong_decrypted.decode())
except Exception as e:
    print(f"Erro ao decifrar com chave errada: {e}")

Erro ao decifrar com chave errada: PKCS#7 padding is incorrect.


## O que muda se voc√™ alterar o IV?
Mudando o vetor inicial, pode ou n√£o gerar o mesmo erro de padding, pois gera o primeiro bloco de 16 bytes errado e afeta os outros blocos consecutivamente.
Nesse caso √© poss√≠vel ver que o erro foi sim de padding incorrect.

In [24]:
# Alterando o IV

# Cria√ß√£o do objeto de cifra no modo CBC com IV aleat√≥rio
wrong_cipher = AES.new(wrong_key, AES.MODE_CBC)
wrong_iv = wrong_cipher.iv


different_decipher = AES.new(key, AES.MODE_CBC, iv=wrong_iv)

try:
    different_decrypted = unpad(different_decipher.decrypt(ciphertext), AES.block_size)
    print("Mensagem decifrada com IV diferente:", different_decrypted.decode())
except Exception as e:
    print(f"Resultado com IV diferente: {e}")
    # Vamos ver o que acontece sem o unpad
    different_decrypted_raw = different_decipher.decrypt(ciphertext)
    print("Decifrado sem unpad (primeiros bytes):", different_decrypted_raw[:16])

Resultado com IV diferente: Padding is incorrect.
Decifrado sem unpad (primeiros bytes): b'\x8c\x84\xcfRd<7\xa7\xc4\x11\xc0#\x89\x0b.\xf1'


# Por que precisamos aplicar padding antes da cifragem?
O AES opera em blocos de 16 bytes fixos, se a mensagem n√£o for m√∫ltiplo exato de 16 bytes, precisamos preencher o √∫ltimo bloco e mesmo se a mensagem j√° tiver m√∫ltiplos de 16 bytes, ainda aplicamos padding para que o receptor saiba que n√£o h√° padding "real"