In [21]:
import os
import hashlib

In [22]:
class NTT(object):   
    def __init__(self, n=16, q=None, base_inverse=False):
        if not n in [16,32,64,128,256,512,1024,2048]:
            raise ValueError("improper argument ",n)
        self.n = n  
        if not q:
            self.q = 1 + 2 * n
            while True:
                if (self.q).is_prime():
                    break
                self.q += 2 * n
        else:
            if q % (2 * n) != 1:
                raise ValueError("Valor de 'q' não verifica a condição NTT")
            self.q = q
             
        self.F = GF(self.q) ; self.R = PolynomialRing(self.F, name="w")
        w = (self.R).gen()
        
        g = (w ^ n + 1)
        x = g.roots(multiplicities=False)[-1]
        self.x = x
        if  base_inverse:
            rs = [x ^ (2 * i + 1)  for i in range(n)] 
            self.base = crt_basis([(w - r) for r in rs]) 
        else:
            self.base = None
    
    def ntt(self, f, inv=False):
        def _expand_(f): 
            u = f.list()
            return u + [0] * (self.n - len(u))      
            
        def _ntt_(x, N, f, inv=inv):
            if N == 1:
                return f
            N_  = N // 2 ; z = x ^ 2  
            f0  = [f[2 * i] for i in range(N_)] ; f1 = [f[2 * i + 1] for i in range(N_)] 
            ff0 = _ntt_(z, N_, f0, inv=inv) ; ff1 = _ntt_(z, N_, f1, inv=inv)  
    
            s  = self.F(1) if inv else x 
            ff = [self.F(0) for i in range(N)] 
            for i in range(N_):
                a     = ff0[i] ; b          = s * ff1[i]  
                ff[i] = a + b  ; ff[i + N_] = a - b 
                s     = s * z                    
            return ff 

        vec = _expand_(f)
        if  not inv:
            return self.R(_ntt_(self.x, self.n, vec, inv=inv))
        elif self.base != None:
            return sum([vec[i] * self.base[i] for i in range(self.n)])
        else:
            n_ = (self.F(self.n)) ^ -1
            x_ = (self.x) ^ -1 
            u  = _ntt_(x_, self.n, vec, inv=inv)
            return self.R([n_ * x_ ^ i * u[i] for i in range(self.n)])
 
    def random_pol(self,args=None):
        return (self.R).random_element(args)

# KYBER
Para a construção do mecanismo KYBER fizemos uso tanto da especificação como da implementação de referência em C/C++.
Os parametros utilizados foram os especificados no documento e os alogitmos seguem também ou a documentação ou então foram uma transformação da implementação em C/C++ para python. Para facilitar a explicação do processo de realização deste trabalho vamos comentar as funções nas células de código para que seja mais fácil vizualizar a sua construção.

In [23]:
class KYBER():
    def __init__(self):
        # Specific Parameters 
        self.n  = 256
        self.nl = 9
        self.q  = 3329

        # Extra Parameters
        self.k  = 2
        self.n1 = 3
        self.n2 = 2
        self.du = 10
        self.dv = 4

        # Ring, Vector and Matrix
        R = PolynomialRing(ZZ, 'a') ; a = R.gen()
        self.RingRq   = R.quotient(a ^ self.n + 1, 'x') ; self.x = self.RingRq.gen()
        self.VectorRq = MatrixSpace(self.RingRq, self.k, 1)
        self.MatrixRq = MatrixSpace(self.RingRq, self.k, self.k)
    

    # ByteToBits Function
    # Esta função transforma um array de bytes num array de bits. O nosso array de bits é representado na forma de um array
    # de inteiros de 0 ou 1 : [0, 1, 1, 0, ...]
    def bytes_to_bits(self, byte_array):
        bit_array = []
        byte_array_length = len(byte_array) * 8
        for i in range(byte_array_length):
            base  = int(i // 8)
            shift = int(i % 8)
            bit_array.append( byte_array[base] >> shift & 0x1 )
        return bit_array

    # Tem o objetivo de transfomar um array de inteiros 0 ou 1 (bits) e transformar num array de bytes
    def byteArrToBytes(self, btArray) :
        byts = b''
        for i in btArray :
            byts += int(i).to_bytes(1,'little')
        return byts
        

    # Compress Function
    # Esta função é a função compress declarada no documento
    def compress_small(self, x, d):
        return round( ((2 ^ d) / self.q) * x ) % (2 ^ d) 

    # Porque nem sempre a compress é utilizada com inteiros vimos a necessidade de a usar 
    # com polinómios. 
    def compress(self, x, d):
        res   = [] 
        coefs = x.list()
        for coef in coefs:
            res.append( self.compress_small(coef, d) )     
        return self.RingRq(res)

    # Com o mesmo pensamento do método acima mas para vetores.
    # Itera cada polinómio do vetor e opera o metodo acima.
    def compress_big(self, x, d):
        res   = [] 
        coefs = x.list()
        for coef in coefs:
            res.append( self.RingRq(self.compress(coef, d)) )     
        return self.VectorRq(res)

    # Decompress Function
    # As próximas 3 funções relativas ao método compresse seguem o mesmo propósito que as 3 anteriores 
    # mas para descomprimir construções
    def decompress_small(self, x, d):
        return round( (self.q / (2 ^ d))  * x )

    # It gives back a list of coeficients
    # For polinomials
    def decompress(self, x, d):
        res   = [] 
        coefs = x.list()
        for coef in coefs:
            res.append( self.decompress_small(coef, d) )     
        return self.RingRq(res)

    # It gives back a list of polinomials
    # For vectors
    def decompress_big(self, x, d):
        res   = [] 
        coefs = x.list()
        for coef in coefs:
            res.append( self.RingRq(self.decompress(coef, d)) )     
        return self.VectorRq(res)


    # Parse Function
    # Receives a byte stream and computes the NTT representation. This function assumes q = 33229 
    # Esta função foi declarada no documento e foi construida consoante o algoritmo correspondente.
    # Temos algumas duvidas na sua implementação visto que o seu objetivo é a computação de uma representação NTT,
    # no entanto os coeficientes que devolve são demasiado grandes.
    def parse(self, byte_array):
        i = 0 ; j = 0 ; 
        a = [0] * self.n
        while j < self.n:
            d1 = byte_array[i] + 256 * (byte_array[i + 1] % 16)
            d2 = round(byte_array[i + 1] / 16) + 16 * byte_array[i + 2]
            if d1 < self.q:
                a[j] = d1
                j += 1
            if  d2 < self.q and j < self.n:
                a[j] = d2
                j += 1
            i += 3
        return self.RingRq(a)


    # CBD Function
    # how a polynomial f from Rq is sampled according to Bn deterministically from 64n bytes of output of 
    # a pseudorandom function (we fix n = 256 in this description).
    # Recebe um byte array e devolve o polinómio correspondente sabendo que os graus de expoente vão de 0 a 255
    def cbd(self, byte_array, n):
        bit_array = self.bytes_to_bits(byte_array)
        f = []
        for i in range(256):
            a = 0 ; b = 0
            for j in range(n):
                a = a + bit_array[2 * i * n + j]
                b = b + bit_array[2 * i * n + n + j]
            f.append(a - b) 
            return self.RingRq(f)

    
    # Decode Function
    # A função decode transforma um array de bytes previamente codificado e o transforma em 
    # no polinómio original. Após alguma discussão dentro do grupo decidimos transformar o código em C/C++
    # em código python pois essa implementação tem uma função encode já definida.
    def decode(self, byte_array, l): # Despite giving l as an argument, we assume l = 12 
        f = []
        for i in range(self.n / 2):
            f.append( ((byte_array[3 * i + 0] >> 0) | (byte_array[3 * i + 1] << 8)) & 0xff )
            f.append( ((byte_array[3 * i + 1] >> 4) | (byte_array[3 * i + 2] << 4)) & 0xff )
        return self.RingRq(f)
    
    # A aplica o método acima a um bytearray que representa um vetor. Calculamos um polinómio num 
    # intervalo de 32 * l (l = 12) bits
    def decode_vector(self, byte_array, l):
        size = len(byte_array) // (32 * l)
        f    = [None] * self.k
        for i in range(size):
            f[i] = self.decode( byte_array[i * 32 * l : (i + 1) * 32 * l], l )
        return self.VectorRq(f)
        
    # Faz o oposto da decode
    def encode(self, f, l):
        byte_array         = []
        f_coeficients_csuq = []
        f_coeficients      = f.list()
        t0 = 0 ; t1 = 0

        for i in range(self.n):
            a = f_coeficients[i]
            a -= self.q
            a += (a >> 15) & self.q
            f_coeficients_csuq.append(a)

        for i in range(self.n / 2):
            t0 = f_coeficients_csuq[2 * i]
            t1 = f_coeficients_csuq[2 * i + 1]

            byte_array.append( (t0 >> 0) )
            byte_array.append( (t0 >> 8) | (t1 << 4) )
            byte_array.append( (t1 >> 4) )

        return byte_array

    # Faz o oposto da decode_vectro
    def encode_vector(self, vector, l):
        poli_list  = vector.list()
        byte_array = []
        for i in range(self.k):
            byte_array += self.encode(poli_list[i], l)
        return byte_array


    # Porque na implementação de referencia eles tem decodes diferentes para diferentes tamanhos de mensagem
    # e nós utilizamos essas funções, estes próximos 2 métodos representam decode e encode para mensagens de 32 bytes
    def decode_32(self, message):
        f    = []
        mask = 0
        for i in range(self.n / 8):
            for j in  range(8):
                mask = -((message[i] >> j) & 1)
                f.append( mask & ((self.q + 1) // 2) )
        return self.RingRq(f) 

    def encode_32(self, poli):
        byte_array         = [None] * 32 
        f_coeficients_csuq = []
        f_coeficients      = poli.list()
        t = 0

        for i in range(self.n):
            a = f_coeficients[i]
            a -= self.q
            a += (a >> 15) & self.q
            f_coeficients_csuq.append(a)

        for i in range(self.n / 8):
            byte_array[i] = 0
            for j in  range(8):
                t = (((f_coeficients_csuq[8 * i + j] << 1) + self.q / 2) / self.q) & 1    
                byte_array[i] |= t << j 
        return byte_array 
    
    # Decode de mensagens de 32 bytes para vetores
    def decode_vector_32(self, byte_array, l):
        size = len(byte_array) // (32 * l)
        f    = [None] * self.k
        for i in range(size):
            f[i] = self.decode_32( byte_array[i * 32 * l : (i + 1) * 32 * l] )
        return self.VectorRq(f)


    # XOF function
    # extendable output function with SHAKE-128
    def xof(self, data, i, j):
        hash_funtion = hashlib.shake_128()
        hash_funtion.update(data + j.to_bytes(4, "little") + i.to_bytes(4, "little"))
        return hash_funtion.digest(self.q) # Is it self.q ? 

    # PRF Function
    # Pseuddorandom function with SHAKE-256
    def prf(self, data, N, n):
        Nb     = int(N).to_bytes(4, "little")
        seed   = data + Nb

        hash_funtion = hashlib.shake_256()
        hash_funtion.update(seed)
        return hash_funtion.digest(self.q)

    # KDF function
    # Key derivation Function with SHAKE-256
    def kdf(self, data, length):
        hash_funtion = hashlib.shake_256()
        hash_funtion.update(data)
        return hash_funtion.digest(length)
    
    # Hash Function H
    # Hash Function withwith SHA3-256
    def hash_H(self, data):
        hash_funtion = hashlib.sha3_256()
        hash_funtion.update(data)
        return hash_funtion.digest()

    # Hash Function G
    # Hash Function withwith SHA3-512
    def hash_G(self, data):
        hash_funtion = hashlib.sha3_512()
        hash_funtion.update(data)
        return hash_funtion.digest()

## PKE
Tendo as funções auxiliares todas definidas vamos agora falar um pouco do PKE.
Mais uma vez, para facilitar o entendimento vamos comentar diretamente no código.

In [24]:
class KYBER_PKE(KYBER):
    # Geração de chaves pública e privada 
    def key_generation_pke(self):
        # Geramos aleatoriamente um byte array de 32 bytes,
        # Seguindo os passos do algoritmo de geração de chaves dado na documentação 
        # usamos a função hash de G em d e daí tiramos dois parametros
        d = os.urandom(32) 
        N = 0
        hashed    = self.hash_G(d)
        ro, sigma = hashed[:32], hashed[32:]

        # Geramos agora uma matriz A de tamanho 2 * 2 
        A0 = [None] * self.k * self.k
        for i in range(self.k):
            for j in range(self.k):
                byte_stream        = self.xof(ro, i, j)
                A0[i * self.k + j] = self.parse(byte_stream)
        A = self.MatrixRq(A0)
        
        # Geramos agora um vetor s de tamanho 2
        s = [None] * self.k
        for i in range(self.k):
            byte_array = self.prf(sigma, N, self.n1)
            s[i]       = self.cbd(byte_array, self.n1)
            N = N + 1

        # Geramos o vetor e de tamanho 2
        e = [None] * self.k
        for i in range(self.k):
            byte_array = self.prf(sigma, N, self.n1)
            e[i]       = self.cbd(byte_array, self.n1)
            N = N + 1
        
        # Temos agora de realizar as transformações NTT de e e s.
        # Para estas transformações utilizámos o código disponibilizado pelo 
        # professor na dropbox da disciplina
        nTT   = NTT()
        s_ntt = self.VectorRq( [nTT.ntt(s[i]) for i in range(self.k)] )
        e_ntt = self.VectorRq( [nTT.ntt(e[i]) for i in range(self.k)] )
        
        # Calculamos agora o vetor t
        t = self.compress_big((A * s_ntt) + e_ntt, 11)
    
        # Finalizamos com o cáculo das chaves codificando os vetores t e NTT(s).
        # Vale dizer que para facilitar a realização do trabalho o nosso grupo decidiu que como
        # os arrays de bits são arrays de inteiros, também os bytes seriam arrays de intereiros.
        # Inicialmente pareceu-nos uma boa decisão pois facilitou muitos dos processo de conversão de tipos
        # mas mais tarde reparámos que ia criar mais problemas que soluções. 
        public_key = self.encode_vector(t, 12) + list(ro)
        secret_key = self.encode_vector(s_ntt, 12)
        return public_key, secret_key

    # Processo de cifragem
    def encryption_pke(self, public_key, message, coins):
        N = 0
        
        # Recebendo a chave publica começamos por a transformar num vetor para obter o vetor t
        # e tiramos o parametro ro. É possivel pois ele foi concatenado no final e sabemos o seu tamanho
        t  = self.decode_vector(public_key, 12)
        ro = bytes(public_key[12 * self.k * self.n / 8:])

        # Geramos a matriz A e calculamos a sua transposta
        A_empty = [None] * self.k * self.k # We instanciate A
        for i in range(self.k):
            for j in range(self.k):
                byte_stream             = self.xof(ro, i, j)
                A_empty[i * self.k + j] = self.parse(byte_stream)
        A  = self.MatrixRq(A_empty)
        At = A.transpose()

        # Geramos o vetor r
        r = [None] * self.k
        for i in range(self.k):
            byte_array = self.prf(coins, N, self.n1)
            r[i]       = self.cbd(byte_array, self.n1)
            N = N + 1

        # Geramos o vetor e1
        e1 = [None] * self.k
        for i in range(self.k):
            byte_array  = self.prf(coins, N, self.n2)
            e1[i]       = self.cbd(byte_array, self.n2)
            N = N + 1
        
        # Calculamos e2
        e2_byte_array = self.prf(coins, N, self.n2)
        e2 = self.cbd(e2_byte_array, self.n2)

        # Fazemos as transformações NTT em r e e1 
        nTT = NTT()
        r_ntt  = self.VectorRq( [nTT.ntt(r[i]) for i in range(self.k)] )
        e1_ntt = self.VectorRq( e1 )

        # Calculamos os vetor u com a transforamção NTT inversa da multiplicação da matriz A com NTT(r) somando
        # ainda NTT(e1)
        # O vetor v é calculado de forma semelhante mas com NTT^-1(t tansposto e NTT(r)) + e2 + decompress(1)(decode(1)(mensagem)).AA
        # Fazemos aqui uso da função decode_32 pois a mensagem é de 32 bytes.
        ut = (At * r_ntt) 
        u  = self.VectorRq( [nTT.ntt(ut[i][0], inv=True) for i in range(self.k)] ) + e1_ntt
        vt = (t.transpose() * r_ntt)
        v  = self.RingRq( nTT.ntt(vt[0][0], inv=True) ) + e2 + self.decompress( self.decode_32(message) , 1)

        # Com processos de codificação e codificação obtemos c1 e c2 vuja conquetenação resulta na mesagem cifrada
        c1 = self.encode_vector( self.compress_big(u, self.du), self.du )
        c2 = self.encode( self.compress(v, self.dv), self.dv )
        return c1 + c2

    # Decifrar mensagem
    def decryption_pke(self, secret_key, cipher_text):
        # Com a mensagem cifrada obtemos novamente c1 e c2
        c1 = cipher_text[:self.du * self.k * self.n / 8]
        c2 = cipher_text[self.dv * self.k * self.n / 8:]

        # Fazendo de certa forma o processo inverso à cifragem obtemos v e u novamente
        u = self.decompress_big( self.decode_vector_32(c1, self.du), self.du )
        v = self.decompress( self.decode(c2, self.dv), self.dv )
        
        # Descodificamos a chave privada para obter o vetor correspondente
        s = self.decode_vector(secret_key, 12)

        # Calculamos NTT(u)
        nTT = NTT()
        u_ntt = self.VectorRq( [nTT.ntt(u.list()[i]) for i in range(self.k)] )

        # Se tudo correr bem e fazendo as transformações especificadas na documentação, a mensagem obtida resultará 
        # na mensagem original
        message = self.encode(self.compress(v - self.RingRq(nTT.ntt((s.transpose() * u_ntt)[0][0], inv=True)), 1), 1)
        return message
        

In [25]:
kyber = KYBER()

In [26]:
f1 = kyber.RingRq([255] * 255)
f2 = kyber.RingRq([500] * 255)
v  = kyber.VectorRq((f1 , f2)) 

#kyber.decode_vector(kyber.encode_vector(v, 12),12)

In [27]:
r       = os.urandom(kyber.q)
coins   = os.urandom(32)
message = os.urandom(32)

In [28]:
pke = KYBER_PKE()
pk, sk = pke.key_generation_pke()
ct = pke.encryption_pke(pk, message, coins)
m  = pke.decryption_pke(sk, ct)


print("public_key length: ", len(pk))
print("secret_key length: ", len(sk))

m == message

public_key length:  800
secret_key length:  768


False

## KEM

In [29]:
class KYBER_KEM(KYBER_PKE):
    # Passa um inteiro a bytes
    def __int_to_bytes(self, x):
        bt = b""
        for i in range( len(x) ):
            bt += int(x[i]).to_bytes((int(x[i]).bit_length() + 7) // 8, 'big')
        return bt
    
    # Usando o pke calculamos as chaves privadas e públicas e de seguida alteramos a chave privada de forma 
    # a que esta fique em conformidade com a documentação
    def key_generation_kem(self):
        z = os.urandom(32)

        pk, sk_pke = self.key_generation_pke()
        sk = self.__int_to_bytes(sk_pke) + self.__int_to_bytes(pk) + self.hash_H( self.__int_to_bytes(pk) ) + z

        return pk, sk

    # Usando a chave pública e as funçoes de hash expecificadas encapsulamos a chave e a mensagem
    def encapsulation(self, public_key, message):
        m = self.hash_H(message)
        kr  = self.hash_G(m + self.hash_H( self.__int_to_bytes(public_key) )) 
        k = kr[:32]
        r = kr[32:]

        c = self.encryption_pke(public_key, m, r)
        K = self.kdf(k + self.hash_H(self.__int_to_bytes(c)), 32)
        return c, K

    # Mais uma vez, usando as especificações do algoritmo de desencapsulação providenciado
    # desencapsulamos a chave. Infelizmente não foi possivel correr este codigo sem erros pois
    # visto que tomamos a decisão de incial de transformar byte array em arrays de inteiros temos
    # aqui um conflito de de tipos. Decidimos no entanto concluir o método seguindo as especificações.
    def decapsulation(self, ciphertext, sk):
        pk = sk[12 * self.k * self.n / 8:]
        h  = sk[24 * self.k * self.n / 8 + 32:] 
        z  = sk[24 * self.k * self.n / 8 + 64:] 
        
        m = self.decryption_pke(self.byteArrToBytes(sk), ciphertext)
        
        kr = self.hash_sha512(m + h)
        k, r = kr[:32], kr[32:]
        
        c_ = self.encryption_pke(pk, m , r)
        
        if c == c_:
            K = self.kdf(k + self.self.hash_sha256(c))
        else:
            K = self.kdf(z + self.self.hash_sha256(c))
        return K
        

In [30]:
kem = KYBER_KEM()
pk, sk = kem.key_generation_kem()
c, K = kem.encapsulation(pk, message)
K = kem.decapsulation(c, sk)

IndexError: list assignment index out of range