## Capitolo 1

# Introduzione: crittosistemi

Il compito della crittografia è quello di permettere a due individui, chiamati Alice e Bob, di comunicare attraverso un canale insicuro, non permettendo ad un loro opponente, Oscar, di comprendere il messaggio trasmesso.
Il messaggio che Alice vuole inviare a Bob è detto *plaintext*, esso viene cifrato da Alice utilizzando una *chiave* prestabilita. Il testo in output è detto *ciphertext*, e può essere decifrato solo da coloro in possesso della chiave.
Formalmente la crittografia può essere rappresentata mediante un cifrario.

**Definizione**
Un *cifrario* è una quintupla $(\mathcal P, \mathcal C, \mathcal K, \mathcal E, \mathcal D)$ dove:

**1)** $\mathcal P$ è un insieme finito di plaintext;

**2)** $\mathcal C$ è un insieme finito di ciphertext;

**3)** $\mathcal K$ è un insieme finito di possibili chiavi;

**4)** Per ogni $k \in \mathcal K$ esiste una $e_k \in \mathcal E$ e una $d_k \in \mathcal D$ tali che $e_k :\mathcal P \rightarrow \mathcal C$, $d_k: \mathcal C \rightarrow \mathcal P$ e $d_k(e_k(x))=x$.

### Cifrario a shift

**Definizione**

Sia $\mathcal P=\mathcal C=\mathcal K= \mathbb{Z}_{26}$.

Per $0 \le K \le 25$ definiamo 

$$e_k(x)=(x+K)  \pmod{26}$$

$$d_k(y)=(y-K) \pmod{26}$$

Questo cifrario non è molto sicuro visto il basso numero di chiavi possibili (26). In questo caso Oscar potrebbe decifrare il messaggio con non oltre 25 tentativi nella peggiore dei casi!

In [140]:

def shift(text,k):
    
    # computiamo il cifrario a shift ove in input abbiamo: text, cioè una stringa e k, un intero compreso tra 0 e 25 (la chiave)
    
    if k>25:
        print('invalid key')
        return
    
    #la chiave è scelta in Z_26
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    y='' #testo cifrato inizialmente vuoto
    
    #rimuoviamo gli spazi da text (forniscono indicazioni sulla lunghezza delle parole)
    
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower() 
    
    #cifriamo
    
    for i in x:
        j=letters.index(i)
        y=y+(letters[(j+k)%26])
    y=y.upper()    
        
    print(y)    
        
    
        
        

In [141]:
def shift_dec(text,k):
    
    #definiamo la funzione inversa del cifrario a shift, usata per decriptare
    
    if k>25:
        print('invalid key')
        return
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    x='' #testo decifrato inizialmente vuoto
    
    text=text.lower()       
    
    #cifrare
    for i in text:
        j=letters.index(i)
        x=x+(letters[(j-k)%26])
        
        
    print(x)   

In [142]:
k=7 #chiave
text='Ciao mi chiamo Alessandro'
print('il testo cifrato è:')
shift(text,k)

il testo cifrato è:
JPHVTPJOPHTVHSLZZHUKYV


In [143]:
k=7
text='JPHVTPJOPHTVHSLZZHUKYV'
print('il testo in chiaro è:')
shift_dec(text,k)

il testo in chiaro è:
ciaomichiamoalessandro


### Cifrario a sostituzione

Sia $\mathcal P = \mathcal C = \mathbb{Z}_{26}$. Sia $\mathcal K$ l'insieme di tutte le possibili permutazioni dei simboli $0,1, \dots, 25$. Per ogni $\pi \in \mathcal K$ definiamo

$$e_k(x)=\pi(x)$$

 e 
 
$$d_k(y)=\pi^{-1}(y)$$

dove $\pi^{-1}$ è la permutazione inversa di $\pi$.

In questo caso si considera l'azione di gruppo delle permutazioni su $\mathbb{Z}_{26}$. Il numero di chiavi possibili è $|\mathbb{S}(\mathbb{Z}_{26})|=26!$, circa $2^{88}$. Ma nonostante il vasto numero di chiavi, questo cifrario presenta comunque una debolezza in quanto è mono alfabetico, cioè una stessa lettera viene cifrata sempre nello stesso modo. Quindi è una cifratura esposta alla struttura statistica dei linguaggi naturali. Infatti analizzando grosse quantità di dati, si possono determinare delle regolarità statistiche. Ad esempio nella lingua inglese e italiana la letterea E ha la frequenza del $12\%$, e così via.

In [144]:
def sostituzione(text,k):
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    y=''
    
    #rimuoviamo gli spazi da text
    
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower()       
    
    #applichiamo la permutazione 
    
    for i in x:
        j=letters.index(i)
        y=y+(k[j])
    y=y.upper()    
        
    print(y)
    

In [145]:
k = "morhbvleswyjpznfakuqicgtd" #definiamo la chiave come una permutazione dell'alfabeto
text = "Possiamo vedrci domani mattina alle nove"
sostituzione(text,k)

FNUUSMPNCBHKRSHNPMZSPMQQSZMMJJBZNCB


Implementiamo ora la funzione di decifratura utilizzando la permutazione inversa

In [146]:
def sostituzione_dec(text,k):
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    text=text.lower()
    
    x=''
    
    #applichiamo la permutazione inversa 
    
    for i in text:
        j=k.index(i)
        x=x+(letters[j])    
        
    print(x)

In [147]:
text='FNUUSMPNCBHKRSHNPMZSPMQQSZMMJJBZNCB'
k = "morhbvleswyjpznfakuqicgtd"
sostituzione_dec(text,k)

possiamovedrcidomanimattinaallenove


### Cifrario affine

Nel Cifrario affine le funzioni di cifratura assumono una forma del tipo

$$e(x)=(ax+b) \pmod{26}$$

con $a,b \in \mathbb{Z}_{26}$.

Queste funzioni sono dette *affini*, da cui il nome del cifrario.

Notiamo che affinchè sia possibile decifrare i messaggi codificati e quindi determinare la funzione inversa di $e_k$, è necessario che la funzione di cifratura sia ingettiva, ossia che l'equazione 

$$ax+b \equiv y \pmod{26}$$

abbia un'unica soluzione per ogni $y \in \mathbb{Z}_{26}$.
Essendo questa equazione equivalente a $ax \equiv y-b \pmod{26}$ ove $y,b \in \mathbb{Z}_{26}$, ci si riduce a studiare il caso in cui la congurenza $ax \equiv y \pmod{26}$ ($y \in \mathbb{Z}_{26}$) ammette una sola soluzione. In particolare, ciò avviene se e solo se gcd($a$,$m$)=1, i.e. se $a$ ed $m$ sono *coprimi*.

Il numero di interi in $\mathbb{Z}_m$ che sono coprimi ad $m$ è denotato con $\phi (m)$.

Supponiamo

$$m=\prod_{i=1}^n p_i^{e_i}$$

dove $p_i$ sono primi distinti e $e_i>0$, $0<i\le n$. Allora sappiamo che

$$\phi(m)=\prod_{i=1}^n(p_i^{e_i}-p_i^{e_i-1})$$

Ne consegue che il numero di chiavi ammissibili per il cifrario affine è pari a $m\phi(m)$


### Cifrario affine

Sia $\mathcal P = \mathcal C = \mathbb{Z}_{26}$ e sia 

$$\mathcal K =\{(a,b) \in \mathbb{Z}_{26} \times \mathbb Z_{26} :  gcd(a,26)=1\}$$

Per $K=(a,b) \in \mathcal K$ definiamo

$$e_k(x)=ax+b \pmod{26}$$

e

$$d_k(y)=a^{-1}(y-b) \pmod{26}$$

con $x,y \in \mathbb{Z}_{26}$.

Affinché esista $a^{-1}$ deve risultare, per definizione di matrice inversa, che il $\det{a} \in U(\mathbb{Z}_{26})$.


In [148]:
def affine(text,a,b):
    
    import math
    
    if math.gcd(a,26) != 1:               #l'equazione ammette più di una soluzione
        print('invalid key')
        return
    
    letters='abcdefghijklmnopqrstuvwxyz'
     
    x=''
    
    #rimuoviamo gli spazi 
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower()  
    
    y=''
    
    #cifriamo
    
    for i in x:
        j=letters.index(i)
        y=y+(letters[(a*j+b)%26])
    y=y.upper()    
        
    print(y)   
    
    return y
        
    
    

In [149]:
a=11
b=5
text='Rosso e verde'
affine(text,a,b)

KDVVDXCXKMX


'KDVVDXCXKMX'

In [150]:
def affine_dec(text,a,b):
    
    import math
    
    if math.gcd(a,26) != 1:
        print('invalid key')
        return
    
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    x='' #testo decifrato inizialmente vuoto
    
    text=text.lower() 
    
    #calcolo l'inverso di a in maniera naive
    
    a=(a**11)%26
    
    #cifrare
    for i in text:
        j=letters.index(i)
        x=x+(letters[(a*(j-b))%26])
        
        
    print(x)   

In [151]:
a=11
b=5
text='KDVVDXCXKMX'
affine_dec(text,a,b)

rossoeverde


### Cifrario di Vigenere

Sia $m$ un intero positivo. Definiamo $\mathcal P= \mathcal C= \mathcal K= \mathbb{Z}_{26}^m$.

Per ogni chiave $K=(k_1,k_2,\dots,k_m)$ siano

$$e_k(x_1,x_2,\dots x_m)=(x_1+k_1,x_2+k_2,\dots, x_m+k_m)$$

e

$$d_k=(y_1,y_2,\dots y_m)=(y_1-k_1,y_2-k_2,\dots, y_m-k_m)$$

eseguendo tutte le operazioni in $\mathbb{Z}_{26}$.
In questo caso la cifratura di una lettera dipende dalla sua posizione all'interno del blocco. In questo tipo di cifrario di lunghezza $m$, un carattere alfabetico può essere mappato in uno degli $m$ possibili caratteri alfabetici (assumendo che nel testo ci siamo $m$ caratteri distinti). Un criptosistema di questo tipo è chiamato **polialfabetico**. Qui si ha l'azione del gruppo $\mathbb{Z}_{26}^{m}$ su se stesso. Caso particolare $m=1$ è il cifrario a shift.
Notiamo che il numero di possibili chiavi di lunghezza $m$ in un cifrario di Vigenère è $26^m$, quindi anche per valori piccoli di $m$, un'esaustiva ricerca della chiave richiederà molto tempo.



In [152]:
def vigenere(text,k):
    letters='abcdefghijklmnopqrstuvwxyz'
    k=k.lower()
    
    #trasformiamo la chiave k in numeri
    h=[]
    for i in range(len(k)):
        h=h+[letters.index(k[i])]
        
    
    #togliamo gli spazi in text
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower() 
    
    #cifriamo
    y=''
    m=len(k)
    for i in range(len(x)):
        j=i%m
        y=y+letters[(letters.index(x[i])+h[j])%26]
    y=y.upper()    
    print(y)    

In [153]:
text='dieci giugno duemilaventitre'
k='PESTO'
vigenere(text,k)

SMWVWVMMZBDHMXAXPSOSCXAMFT


In [154]:
def vigenere_dec(text,k):
    letters='abcdefghijklmnopqrstuvwxyz'
    k=k.lower()
    
    #trasformiamo la chiave k in numeri
    h=[]
    for i in range(len(k)):
        h=h+[letters.index(k[i])]
    
    #rimuoviamo gli spazi in text
    y=''
    
    for i in text:
        if i==' ':
            y=y
        else:
            y=y+i
    y=y.lower() 
       
    #decifriamo
    
    x=''
    m=len(k)
    for i in range(len(y)):
        j=i%m
        x=x+letters[(letters.index(y[i])-h[j])%26]
    x=x.lower()    
    print(x)    


In [155]:
text='SMWVWVMMZBDHMXAXPSOSCXAMFT'
k='PESTO'
vigenere_dec(text,k)

diecigiugnoduemilaventitre


### Cifrario di Hill

Come il cifrario di Vigenere, anche quello di Hill è un cifrario polialfabetico. 

L'idea è di considerare $m$ combinazioni lineari di $m$ caratteri alfabetici di un plaintext, producendo $m$ caratteri alfabetici nel ciphertext. 


Sia $m\ge 2$ un intero. Sia $\mathcal P= \mathcal C= \mathbb{Z}_{26}^m$ e sia $\mathcal K=GL_m(\mathbb{Z}_{26})$.

Per ogni chiave $K$ definiamo 

$$e_k(x)=xK$$

e

$$d_k(y)=yK^{-1}$$

eseguendo tutte le operazioni in $\mathbb{Z}_{26}$. Per stabilire il numero possibile di chiavi, se al posto di $26$ ci fosse un primo, sarebbe semplice, perché $\mathbb{Z}_{p}$essendo campo finito, si ha $|GL_{m}(\mathbb{Z}_p)|=p^n$. Dove $n=\deg{f(x)}$, polinomio irriducibile di $\mathbb{Z}_{p}[x]$.
Anche questo cifrario presenta delle debolezze, in quanto si basa su un'azione di tipo lineare. Quindi per attaccarlo è sufficiente risolvere un sistema di equazioni lineari.

In [156]:
def Hill(text,k):
    
    #k deve essere una matrice di numeri in Z_26
    letters='abcdefghijklmnopqrstuvwxyz'
    
    import numpy
    
    k=numpy.array(k)
    m=k.shape[0]
    
    #verifico che k sia invertibile
    
    if gcd(numpy.linalg.det(k)%26,26) != 1:
        print('matrice non invertibile, chiave non valida')
        return
    
    #verifico che la lunghezza di text sia un multiplo di m
    
    if len(text)%m != 0:
        print('testo non valido')
        return
    
    
    #rimuoviamo gli spazi in text
    
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower() 
    text=x
    
    n=int(len(text)/m) #numero di blocchi
    
    #criptiamo
    
    y=''
    
    for i in range(n):
        x=[]
        for j in range(m):
            x=x+[letters.index(text[j+i*m])]
        x=numpy.array(x)
        Y=numpy.dot(x,k)
        Y=Y%26
        for j in range(m):
            y=y+letters[Y[j]]
    
    y=y.upper()
    print(y)       
        

In [157]:
text='CANE'
k=[[5,11],[2,9]]
Hill(text,k)

KWVX


### Cifrario a permutazione

 Sia $m$ un intero positivo. Siano $\mathcal P= \mathcal C= \mathbb{Z}_{26}^m$ e sia $\mathcal K$ l'insieme di tutte le permutazioni dell'insieme $\{1, \dots, m\}$. Per ogni chiave $\pi$ definiamo

$$e_{\pi}(x_1,\dots,x_m)=(x_{\pi(1)},\dots,x_{\pi(m)})$$

e

$$d_{\pi}(y_1,\dots,y_m)=(y_{\pi^{-1}(1)},\dots,y_{\pi^{-1}(m)})$$

dove $\pi^{-1}$ è l'inversa di $\pi$

Risulta che il cifrario a permutazione rappresenta un caso particolare del cifrario di Hill, in quanto una permutazione può essere espressa in forma matriciale: data una permutazion $\pi$ dell'insieme $\{1,\dots,m\}$ è possibile associare ad essa una matrice di permutazione $m \times m$, $K_{\pi}=(k_{i,j})$, definita nel seguente modo:

$$k_{i,j}=\begin{cases} 1 & \mbox{se }i=\pi(j) \\ 0 & \mbox{altrimenti}
\end{cases}$$

Non è difficile verificare che applicare il cifrario di Hill con la chiave $K_{\pi}$ produce lo stesso risultato del cifrario a permutazione con la chiave $\pi$

In [158]:
def Permutazione(text,pi):
    
    #pi è una stringa di numeri che rappresenta la permutazione
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    import numpy
    
    #trasformiamo pi in matrice
    
    m=len(pi)
    k=[]
    for i in range(m):
        l=[0*x for x in range(m)]
        l[int(pi[i])-1]=1
        k=k+[l]
    
    #convertiamo k in matrice
    
    k=numpy.array(k)
    
    #verifichiamo che k sia invertibile (operazione di fatto superflua)
    
    if gcd(numpy.linalg.det(k)%26,26) != 1:
        print('matrice non invertibile, chiave non valida')
        return
    
    
    #rimuoviamo gli spazi in text
    
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower()
    
    
    #verifichiamo che la lunghezza di text sia multiplo di m
    
    if len(x)%m != 0:
        print('testo non valido')
        return
    
    n=int(len(x)/m) #numero di blocchi
    
    #cifriamo 
    
    y=''
    
    
    for i in range(n):
        t=[]
        for j in range(m):
            t=t+[letters.index(x[j+i*m])]
        t=numpy.array(t)
        Y=numpy.dot(t,k)
        Y=Y%26
        for j in range(m):
            y=y+letters[Y[j]]
    
    y=y.upper()
    print(y)       
        

In [159]:
text='la pizza con le patatinee'
pi='6351247'
Permutazione(text,pi)

IZAZPLALEOPNCAINAETTE


### Cifrario a flusso

Nei crittosistemi precedenti, elementi successivi di plaintext sono criptati usando la stessa chiave $K$. Questo significa che la stringa $y$ è ottenuta come 

$$y=y_1y_2\cdots=c_K(x_1)c_K(x_2)\cdots.$$

Un'idea alternativa è quella di usare i cosiddetti cifrari a flusso. L'dea di base è di generare un flusso di chiavi $z=z_1z_2\cdots$ e usarle per criptare con la regola 

$$y=e_{z_1}(x_1)e_{z_2}(x_2)\cdots.$$

Il cifrario più semplice di questo tipo è quello chiamato **sincrono** in cui il flusso di chiavi è generato a partire da una chiave, indipendentemente dalla stringa di plaintext.

**Definizione 1.6**

Un cifrario a flusso sincrono è una tupla $(\mathcal P, \mathcal C, \mathcal K, \mathcal L, \mathcal E, \mathcal D)$ e una funzione $g$ tali che:

**1)** $ \mathcal P$ è un insieme finito di possibili plaintext;

**2)** $\mathcal C$ è un insieme finito di possibili ciphertext;

**3)** $\mathcal K$ è un insieme finito di chiavi;

**4)** $ \mathcal L$ è un insieme finito chiamato *keystream alphabet*;

**5)** $g$ è un generatore di flusso. $g$ prende in input una chiave $k \in \mathcal K$ e genera una sequenza infinita $z_1z_2\dots$ dove $z_i \in \mathcal L$ per ogni $i\ge 1$;

**6)** Per ogni $z \in \mathcal L$ esistono una *encryption rule* $e_z \in \mathcal E$, $e_z: \mathcal P \rightarrow \mathcal C$ e una *decryption rule*  $d_z \in \mathcal D$, $d_z: \mathcal C \rightarrow \mathcal P$ tali che $d_z(e_z(x))=x$ per ogni $x \in \mathcal P$.


Un cifrario a flusso è **periodico** con periodo $d$ se $z_{i+d}=z_i$ per ogni intero $i\geq 1$. 

Denotiamo con $g$ la funzione che genera il keystream: $K\mapsto z_1z_2\cdots$, cioè un generatore di bit pseudo-random ottenuti a partire da una chiave $K$ detta **seme**.

Tale funzione è ottenuta partendo da una trasformazione $T:\mathbb{Z}^r_2\rightarrow\mathbb{Z}^r_2$ inizializzata ad un vettore $v_0=v(0)\in\mathbb{Z}^r_2$ e tale che $T^t(v_0)=v(t)$ per ogni intero $t\geq 0$. La trasformazione $T$ è scelta in modo che la sequenza di vettori $v(0),v(1),\dots$ sia abbastanza casuale. 

Supponiamo per semplicità che $T$ sia invertibile, allora $T\in S(\mathbb{Z}^r_2)$ (che è un campo finito). Dunque $T$ ha periodo finito $d$, i.e. $T^d=id$. Vogliamo in più che la trasformazione abbia il periodo massimo possibile. 

Dal teorema di interpolazione di Lagrange otteniamo che tutte le funzioni vettoriali di un campo finito sono mappe polinomiali, pertanto $T:\mathbb{Z}^r_2\rightarrow\mathbb{Z}^r_2$ è necessariamente una mappa polinomiale. 

Considerando un'altra funzione $f:\mathbb{Z}^r_2\rightarrow\mathbb{Z}_2$ (un polinomio), possiamo definire i cifrari a flusso considerando : 

$$\mathcal{P}=\mathcal{C}=\mathbb{Z}_2$$ 

$$\mathcal{K}=\mathbb{Z}^r_2$$ 

$$g: v_0=v(0)\in\mathbb{Z}^r_2\mapsto z_1z_2\cdots,\ \text{con} \ z_i=f(v(t)), v(t)=T^t(v(0)).$$

Nei cifrari a flusso più sicuri $T$ ed $f$ sono funzioni polinomiali non entrambe lineari.

Affinchè il periodo della sequenza sia massimo si richiede che la funzione $T$ sia primitiva (in particolare un polinomio $p(\lambda)$ è primitivo in $\mathbb{Z}_2[x]$ quando $\lambda+(p(\lambda))$ è generatore ciclico del gruppo moltiplicativo $\mathbb{Z}_2[x]/(p(\lambda))\setminus \{0\}$).

Un metodo per generare un flusso di chiavi sincrono è dato dal seguente algoritmo. Lavorando sull'alfabeto binario, supponiamo di avere una $m-$upla $(k_1,\dots,k_m)$ e imponiamo $z_i=k_i$. Generiamo il flusso usando la **ricorrenza lineare** di grado $m$ come segue:

$$z_{i+m}=\sum_{j=0}^{m-1}c_jz_{i+j}mod2$$ 

dove $c_0,\dots,c_{m-1}\in\mathbb{Z}_2$ sono costanti note.

Tale ricorrenza ha grado $m$ dato che ogni termine dipende dagli $m$ precedenti. Inoltre è lineare perchè $z_{i+m}$ è una funzione lineare dei termini precedenti. Possiamo assumere senza ledere la generalità che $c_0=1$, altrimenti la ricorrenza sarebbe di grado al più $m-1$. 

Un altro metodo di generazione del flusso di chiavi può essere prodotto efficientemente usando un **linear feedback shift register**, abbreviato ad **LFSR**. Usiamo un registro a shift ad $m$ passi. Il vettore $(k_1,\dots,k_m)$ sarà usato per inizializzare il registro. In ogni unità di tempo, sono eseguite le seguenti operazioni:

**1)** $k_1$ sarà utilizzato come il successivo bit di keystream;

**2)** $k_2,\dots,k_m$ saranno spostate di uno stadio a sinistra;

**3)** il "nuovo" valore di $k_m$ sarà computato come:
$$\sum_{j=0}^{m-1}c_jk_{j+1}$$

In ogni stadio, il registro contiene $m$ elementi del keystream, ad esempio $z_i,\dots,z_{i+m-1}$. Dopo una unità di tempo, il registro contiene $z_{i+1},\dots,z_{i+m}$. 

L'LFSR è ottenuto sfruttando certi passaggi del registro e valutando una somma XOR.

La ricorrenza ha grado $m$ dato che ogni termine dipende dagli $m$ precedenti, è lineare perchè $z_{i+m}$ è una funzione lineare dei termini precedenti. Possiamo assumere che $c_0=1$ senza ledere la generalità, altrimenti la ricorrenza avrebbe grado al più (m-1).


**più in generale**

Se consideriamo un'equazione lineare alle differenze 

$$x(r)=\sum c_ix(i)$$

essa definisce per ricorrenza il modo in cui si aggiorna lo stato:

$$x(r+t)=\sum c_ix(i+t).$$ 

L'operazione $T$ di transizione di stato corrispondente a tale equazione è data da:

$$T:\mathbb{Z}^r_2\rightarrow\mathbb{Z}^r_2 \ \text{tale che} \ T: v(t) \mapsto v(t+1) \ \text{con} \ v(0)=(x_0,\dots,x(r-1)),  \\ v(1)=T(v(0))=(x(1), \dots, x(r-1), x(r)=\sum c_ix(i))$$

Si può generalizzare anche nel caso di più equazioni alle differenze 

$$x(r)=\sum c_ix(i), \ y(s)=\sum d_iy(i), \dots$$ 

in cui il registro sarà dato da 

$$[x(0),\dots,x(r-1),y(0),\dots,y(s-1),\dots]$$

La matrice di transizione di stato è diagonale a blocchi e, denotando i blocchi con $C_i$, otteniamo che il periodo della matrice è $mcm(|C_1|,\dots,|C_k|)$. Per massimizzare tale periodo imponiamo che i singoli termini siano coprimi, in modo che l'mcm corrisponda al prodotto dei periodi.

In [160]:
def sommaxor(a,b):
    
    c=''
    for i in range(len(a)):
        if a[i]==b[i]:
            c=c+'0'
        else:
            c=c+'1'

    return c

In [161]:
#genero un esempio di LSFR di periodo m=4
#dalle considerazioni precedenti consideriamo c_0=1=c_1; c_2=0=c_3
def LFSR(text,Key):
    
    c=''
    
    for i in range (4):   #il periodo è 4
        y=sommaxor(text[i],Key[i])
        print(Key[i])
        c=c+y
    
    for i in range (4,len(text)):
        ki=sommaxor(Key[0],Key[1])  #flusso
        Key= [Key[1],Key[2],Key[3],ki]
        y=sommaxor(text[i],Key[3])
        print(Key[3])
        c=c+y
    
    return c


In [162]:
text='1001101011100010111101011110'
Key='1001'  #seme
c=LFSR(text,Key)
print(c)

1
0
0
1
1
0
1
0
1
1
1
1
0
0
0
1
0
0
1
1
0
1
0
1
1
1
1
0
0000000000010011110000000000


Mostriamo un esempio di cifrario a flusso non-sincrono, ossia un cifrario in cui ogni elemento della keystream $z_i$ dipende dagli elementi precedenti del ciphertext e del plaintext.

### Cifrario a chiave automatica-esempio di cifrario non sincrono
Sia $\mathcal P= \mathcal C= \mathcal K= \mathbb{Z}_{26}$. Sia $z_1=K$ e definiamo $z_i=x_{i-1}$ per ogni $i\ge 2$.

Per $0\le z\le 25$ definiamo

$$e_z(x)=(x+z) \pmod{26}$$

e

$$d_z(y)=(y-z) \pmod{26}$$

con $x,y \in \mathbb{Z}_{26}$

In [163]:
def autokey(text,z1):
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    if z1>25:
        print('invalid key')
        return
    
    #rimuoviamo gli spazi in text
    
    x=''
    
    for i in text:
        if i==' ':
            x=x
        else:
            x=x+i
    x=x.lower() 
    
    y=''
    for i in range(len(x)):
        if i==0:
            k=z1
        else:
            k=letters.index(x[i-1])    #definiamo le chiavi
        j=letters.index(x[i])
        y=y+(letters[(j+k)%26])       #cifriamo
    y=y.upper()    
        
    print(y)
    
    

In [164]:
z1=5
text='domani ci vediamo prest'
autokey(text,z1)

IRAMNVKKDZHLIMADGVWL


### Crittoanalisi

La crittoanalisi studia i possibili attacchi a cifrari, al fine di validarne o invalidarne la sicurezza.

Esistono diverse classi di attacchi possibili ai cifrari, quelli più comuni:

**ciphertext only attack**: Oscar è a conoscenza di una stringa di cipher $y$;

**known plaintext attack**: Oscar è a conoscenza di una stringa di plaintext $x$, e del corrispondente ciphertext $y$;

**chosen plaintext attack**: Oscar, che ha un temporaneo accesso al macchinario di codifica, può scegliere un plaintext $x$ e creare il corrispondente ciphertext $y$;

**chosen ciphertext attack**: Oscar, che ha un temporaneo accesso al macchinario di decrittazione, può scegliere un ciphertext $y$ e creare il corrispondente plaintext $x$.

In ognuno dei precedenti casi, lo scopo dell'opponente è trovare la chiave utilizzata.


### Crittoanalisi del crifrario affine
Uno strumento classico utilizzato per la crittoanalisi è la struttura statistica di un linguaggio naturale, basato sulla frequenza di digrammi e trigrammi, ovvero gruppi di due e tre lettere che rappresentano un solo suono.


Questi dati statistici si rivelano utili nel caso di cifrari monoalfabetici, dove ogni lettera viene cifrata sempre con una stessa altra lettera.

Prendiamo in esempio il cifrario affine ed implementiamo prima delle funzioni che dividono il testo in digrammi e trigrammi.

In [165]:
#definiamo le funzioni ausiliari che dividono il testo in digrammi e trigrammi
def dig(text):
    digrammi=[]
    for i in range(len(text)-1):
        substring=text[i:i+2]
        digrammi=digrammi+[substring]
    return digrammi

text='digrammi'
digrammi=dig(text)
print(digrammi)

def trig(text):
    trigrammi=[]
    for i in range(len(text)-2):
        substring=text[i:i+3]
        trigrammi=trigrammi+[substring]
    return trigrammi

text='trigrammi'
trigrammi=trig(text)
print(trigrammi)


['di', 'ig', 'gr', 'ra', 'am', 'mm', 'mi']
['tri', 'rig', 'igr', 'gra', 'ram', 'amm', 'mmi']


Implementiamo una funzione ausiliaria che calcola il risultato di un sistema del tipo:

$$\begin{cases} 
   ax+by=r \pmod{n} \\ cx+dy=s \pmod{n}
   \end{cases}$$

In [166]:
def modsystem(a,b,c,d,r,s):
    #utilizziamo il metodo di eliminazione secondo il seguente processo:
    #-moltiplico la prima equazione per d e la seconda per b 
    #-sottraggo la seconda dalla prima
    #-determino x (se esiste)
    #-determino y
    
    import math
    
    coprimi=[1,3,5,7,9,11,15,17,19,21,23,25] #elementi invertibili in Z26 
    coeff=a*d-b*c #coefficiente ottenuto dal metodo di eliminazione
    if math.gcd(coeff,26) != 1:
        print('nessuna soluzione')
        return
    else:
        
       #cerco l'inverso di ad-bc in maniera naive
        for i in coprimi:
            if (coeff*i)%26==1:
                inv=i
                break
        x=(inv*(r*d-b*s))%26
        
        #trovo y risolvendo l'equazione by congruo r-ax
        
        for i in coprimi:
            if (b*i)%26 == 1:
                invb= i
                break
        y=((r-a*x)*invb)%26
    return x,y    
            
        


Proviamolo su un esempio:
$$\begin{cases} 
   4x+y=17 \pmod{26} \\ 19x+y=3 \pmod{26}
   \end{cases}$$

In [167]:
modsystem(4,1,19,1,17,3)

(6, 19)

In [168]:
def crittoanalisi_affine(text):
    
    import math
    
    letters='abcdefghijklmnopqrstuvwxyz'
    freq='etaoinshrdlcumwfgypbvkjxqz'
    digfreq=['th','he','in','er','an','re','ed','on','es','st','en','at','to','nt','ha','nd','ou','ea','ng','as','or','ti','is','et','it','ar','te','se','hp','of']
    trifreq=['the','ing','and','her','ere','ent','tha','nth','was','eth','for','dth']
    
    text=text.lower()
    
    counter={}
    for i in letters:
        counter[i]=text.count(i)
        
    
    counter=sorted(counter.items(),key=lambda x: x[1], reverse=True)
    
    
    import numpy as np
    
    a=26
    
    for i in range(1,26):
        b=[letters.index(counter[0][0]),letters.index(counter[i][0])]
        a,b=modsystem(4,1,19,1,b[0],b[1])
        if a == None:
            continue
        if math.gcd(a,26)==1:
            print('la chiave è:',a,b)
            break
    
    x=affine_dec(text,a,b)
    
    print(x)
    
    return

       
    

In [169]:
text='nel millenovecentodiciotto si concluse la prima guerra mondiale'
text=affine(text,3,5)
crittoanalisi_affine(text)

SRMPDMMRSVQRLRSKVODLDVKKVHDLVSLMNHRMFYEDPFXNREEFPVSODFMR
la chiave è: 17 1
betkuttebshewebzsnuwuszzsiuwsbwtqietojrukomqerroksbnuote
None


### Crittoanalisi del cifrario di Vigenere

Il problema fondamentale nella  crittoanalisi del cifrario di Vigenere, è quello di determinare la lunghezza $m$ della parola chiave. Tale operazione viene effettuata utilizzando il *test di Kasiski*: cerca nel cifrato i trigrammi a più alta frequenza. Calcola per le varie occorrenze di uno stesso trigramma e cerca il divisore comune più probabile.

Un altro modo per cercare la lunghezza di $m$ può avvenire utilizzando l' *indice di coincidenza*.

**Definizione**

Sia $\textbf{x}=x_1x_2\dots x_n$ una stringa di $n$ caratteri alfabetici. L' *indice di coincidenza* di $\textbf{x}$ denotato come $I_c(\textbf{x})$ è  definito come la probabilità che due elementi di $\textbf{x}$ siano uguali.
Empiricamente, l'indice di coincidenza può essere calcolato nel seguente modo.

 Siano $f_0,\dots,f_{25}$ le frequenze delle lettere $A,B,C,\dots,Z$ in $\textbf{x}$ . Ci sono $\binom{f_i}{2}$ modi per scegliere una coppia di elementi in cui c'è la lettera i-esima, e ci sono $\binom{n}{2}$ per scegliere due elementi della stringa. La frequenza relativa la ottengo: 

$$I_c(\textbf{x})=\frac{\sum_{i=0}^{25}\binom{f_i}{2}}{\binom{n}{2}}$$.



Se vogliamo calcolare l'indice di coincidenza standard di una lingua naturale di cui si conoscono la probabilità di ogni singola lettera, indicate con $p_i$, ad esempio l'inglese. Assumendo che la comparsa di una una stessa lettera in due posizioni diverse siano due eventi indipendenti si ha:
$$I_c(\textbf{x})\approx \sum_{i=0}^{25}p_i^2=0.065$$
Se invece consideriamo una sequenza random di caratteri, $p_i=\frac{1}{26}$, si ha

$$I_c(\textbf{x})\approx 26 (\frac{1}{26})^2=0.038$$
Ovviamente l'indice di coincidenza non cambia se abbiamo applicato una permutazione delle lettere.


Se il valore di m è corretto, ogni sequenza estratta di caratteri ha lunghezza multipli di m. Ovvero se:
 $\textbf{y}=y_1\dots y_n$ una stringa di ciphertext ottenuto tramite il cifrario di vigenere. Definiamo

$$\textbf{y}_1=y_1y_{m+1}y_{2m+1}\dots$$

$$\textbf{y}_2=y_2y_{m+2}y_{2m+2}\dots$$

$$\vdots \vdots \vdots$$

$$\textbf{y}_m=y_my_{2m}y_{3m}\dots$$

 si ha $I_c(\textbf{y}_i)\approx 0.065$ per ogni $i$, ovvero conserva l'indice di incidenza standard.



In [170]:
def key_length(text):
    
    #calcolo della lunghezza delal chiave tramite test di kasiski
    
    trigrammi=trig(text)
    
    #conto le occorrenze dei trigrammi in text
    
    count={}
    tri=list(set(trigrammi))
    for i in tri:
        count[i]=trigrammi.count(i)
    count=sorted(count.items(),key = lambda x: x[1], reverse = True)
    
    import numpy as np
    
    searchval=count[0][0]
    
    position = []
    for i in range(len(trigrammi)):
        if trigrammi[i] == searchval:
            position=position+[i]
    
    
    
    dist=[]
    for i in range(1,len(position)):
        dist=dist+[position[i]-position[0]]
    
    m=gcd(dist)
    
    print('La lunghezza della parola chiave è:\n')
    print(m)
    
    return m

In [171]:
text="CHREEVOAHMAERATBIAXXWTNXBEEOPHBSBQMQEQERBWRVXUOAKXAOSXXWEAHBWGJMMQMNKGRFVGXWTRZXWIAKLXFPSKAUTEMNDCMGTSXMXBTUIADNGMGPSRELXNJELXVRVPRTULHDNQWTWDTYGBPHXTFALJHASVBFXNGLLCHRZBWELEKMSJIKNBHWRJGNMGJSGLXFEYPHAGNRBIEQJTAMRVLCRREMNDGLXRRIMGNSNRWCHRQHAEYEVTAQEBBIPEEWEVKAKOEWADREMXMTBHHCHRTKDNVRZCHRCLQOHPWQAIIWXNRMGWOIIFKEE"
key_length(text)

La lunghezza della parola chiave è:

5


5

In [172]:
def coincidenza(text,m):       #calcoliamo l'indice di coincidenza
    
    text=text.lower()
    
    letters='abcdefghijklmnopqrstuvwxyz'
    
    #dividiamo il testo in m parti
    y=[]
    for i in range(m):
        y_copy=text[i::m]
        y=y+[y_copy]
    
    #calcolo indice di coincidenza
    for i in y:
        f=[]
        for a in letters:
            f=f+[i.count(a)]  
        I=0
        n=len(i)
        for j in range(len(f)):
            I=I+float((f[j]*(f[j]-1))/(n*(n-1)))
        print(I)    


In [173]:
text="CHREEVOAHMAERATBIAXXWTNXBEEOPHBSBQMQEQERBWRVXUOAKXAOSXXWEAHBWGJMMQMNKGRFVGXWTRZXWIAKLXFPSKAUTEMNDCMGTSXMXBTUIADNGMGPSRELXNJELXVRVPRTULHDNQWTWDTYGBPHXTFALJHASVBFXNGLLCHRZBWELEKMSJIKNBHWRJGNMGJSGLXFEYPHAGNRBIEQJTAMRVLCRREMNDGLXRRIMGNSNRWCHRQHAEYEVTAQEBBIPEEWEVKAKOEWADREMXMTBHHCHRTKDNVRZCHRCLQOHPWQAIIWXNRMGWOIIFKEE"
m=key_length(text)
print('gli indici di coincidenza relativi alla lungheza',m,'sono:')
coincidenza(text,m)

La lunghezza della parola chiave è:

5
gli indici di coincidenza relativi alla lungheza 5 sono:
0.0629800307219662
0.06810035842293907
0.06861239119303636
0.06081438392384983
0.07244843997884717


Studiamo ora la tecnica utilizzata per determinare la chiave una volta nota la lunghezza.

Sia $i=1\dots m$ e siano $f_0,\dots, f_{25}$ le frequenze delle lettere dell'alfabeto nella stringa $y_i$. Sia inoltre $n'=n/m$ la lunghezza della stringa. Allora le distribuzioni di probabilità delle lettere per la stringa $y_i$ sono pari a :

$$\frac{f_0}{n'}\dots \frac{f_{25}}{n'}$$

Ricordiamo che la chiave cercata $(k_1, \ldots, k_m)$ e che la stringa $y_i$ è stata ottenuta shiftando un sottoinsieme del paintext di un fattore di shift pari a $k_i$. Quindi le lettere del cifrato estratto sono tutte shiftate di $k_i$, nel corrispondente testo in chiaro. Dunque le distribuzioni di probabilità

$$\frac{f_{k_i}}{n'}\dots \frac{f_{25+k_i}}{n'}$$

Se $k_i$ è la componente corretta della chiave, queste dovrebbero essere vicine alle probabilità ideali $p_0, \dots, p_{25}$.

Altrimenti posso usare un indice di incidenza cumulativo:

Sia $0\leq g \leq 25$ e definiamo la quantità 

$$M_g(y_{k_i})=\sum_{i=0}^{25}p_i\frac{f_{i+g}}{n'}$$

Se $g$ è corretta allora ci aspettiamo che $M_g \approx \sum_{i=0}^{25}p_i^2=0.065$.

Se $g\neq k_i$, allora $M_g$ dovrebbe essere significatamente più basso di 0.065.

In [174]:
def critt_vigenere(text,m):
    text=text.lower()
    letters='abcdefghijklmnopqrstuvwxyz'
    p=[0.082,0.015,0.028,0.043,0.127,0.022,0.020,0.061,0.07,0.002,0.008,0.04,0.024,0.067,0.075,0.019,0.001,0.06,0.063,0.091,0.028,0.01,0.023,0.001,0.020,0.001]
    
     #dividi il testo in m pezzi
    y=[]
    for i in range(m):
        y_copy=text[i::m]
        y=y+[y_copy]
    
    n=len(text)/m
    
    k=[0]*m
    
    for i in range(m):
        f=[]
        for a in letters:
            f=f+[y[i].count(a)] 
        Mg=0    
        for g in range(26):
            somma=0
            for j in range(26):
                somma=somma+p[j]*f[(j+g)%26]/n
            if somma>Mg:
                Mg=somma
                k[i]=letters[g]
    print('La chiave è\n')  
    print(k)

In [175]:
text="CHREEVOAHMAERATBIAXXWTNXBEEOPHBSBQMQEQERBWRVXUOAKXAOSXXWEAHBWGJMMQMNKGRFVGXWTRZXWIAKLXFPSKAUTEMNDCMGTSXMXBTUIADNGMGPSRELXNJELXVRVPRTULHDNQWTWDTYGBPHXTFALJHASVBFXNGLLCHRZBWELEKMSJIKNBHWRJGNMGJSGLXFEYPHAGNRBIEQJTAMRVLCRREMNDGLXRRIMGNSNRWCHRQHAEYEVTAQEBBIPEEWEVKAKOEWADREMXMTBHHCHRTKDNVRZCHRCLQOHPWQAIIWXNRMGWOIIFKEE"
m=key_length(text)
critt_vigenere(text,m)

La lunghezza della parola chiave è:

5
La chiave è

['j', 'a', 'n', 'e', 't']


In [176]:
text="CHREEVOAHMAERATBIAXXWTNXBEEOPHBSBQMQEQERBWRVXUOAKXAOSXXWEAHBWGJMMQMNKGRFVGXWTRZXWIAKLXFPSKAUTEMNDCMGTSXMXBTUIADNGMGPSRELXNJELXVRVPRTULHDNQWTWDTYGBPHXTFALJHASVBFXNGLLCHRZBWELEKMSJIKNBHWRJGNMGJSGLXFEYPHAGNRBIEQJTAMRVLCRREMNDGLXRRIMGNSNRWCHRQHAEYEVTAQEBBIPEEWEVKAKOEWADREMXMTBHHCHRTKDNVRZCHRCLQOHPWQAIIWXNRMGWOIIFKEE"
k='JANET'
vigenere_dec(text,k)

thealmondtreewasintentativeblossomthedayswerelongeroftenendingwithmagnificenteveningsofcorrugatedpinkskiesthehuntingseasonwasoverwithhoundsandgunsputawayforsixmonthsthevineyardswerebusyagainasthewellorganizedfarmerstreatedtheirvinesandthemorelackadaisicalneighborshurriedtodothepruningtheyshouldhavedoneinnovember


### Crittoanalisi del cifrario a flusso

Ricordiamo che il ciphertext è la somma modulo 2 del plaintext e del flusso di chiavi. Quest'ultimo è prodotto da una $m-$upla iniziale $(z_1,\dots,z_m)=(k_1,\dots,k_m)$, usando la ricorrenza lineare

$$z_{i+m}=\sum_{j=0}^{m-1}c_jz_{i+j}mod2.$$ 

Essendo tutte le operazioni lineari, possiamo sospettare che sia vulnerabile ad un known-plaintext attack. 

Supponiamo ad esempio che il nostro opponente abbia una stringa di plaintext $x_1\cdots x_n$ e il corrispondente ciphertext $y_1\cdots y_n$. Allora possiamo valutare il flusso di chiavi $z_i=(x_i+y_i) \mod 2$. Supponiamo anche che Oscar sappia il valore di $m$. Allora lui avrebbe bisogno solo di eseguire $c_0,\dots,c_{m-1}$ per ricostruire l'intero flusso. In altre parole, dovrebbe essere in grado di determinare le $m$ incognite, i.e. abbiamo 

$$z_{i+m}=\sum_{j=0}^{m-1}c_jz_{i+j}mod2$$ 

che è un'equazione lineare in $m$ incognite. Se $n\geq 2m$ allora esistono $m$ equazioni lineari in $m$ incognite, che conseguentemente possono essere risolte.

### Capitolo 2 

### Tipi di sicurezza

**Sicurezza computazionale**

Definiamo un sistema *computazionalmente sicuro* se il miglior algoritmo per trovare la chiave richiede almeno $N$ operazioni dove $N$ è un numero specificato molto grande

Attualmente nessun sistema conosciuto può essere provato essere computazionalmente sicuro

**Sicurezza provabile**

Un cifrario è detto *provabilmente sicuro* se si può dimostrare che, se è possibile trovare la chiave allora è possibile risolvere in modo efficiente un problema considerato difficile. In pratica se ho due problemi A e B, e da A ottengo B mediante una riduzione di tipo polinomile. Se assumo di poter risolvere A, allora con la riduzione di Touring posso risolvere B.  Spesso dai crittografi viene usato al contrario: se B non è polinomiale(complessità di tipo polinomiale) allora A è non polinomiale.

**Sicurezza incondizionale**

Un cifrario è detto *incodizionalmente sicuro* se la chiave non può essere determinata in alcun modo, pur avendo infinite risorse di calcolo a disposizione. Avviene un'analisi probabilistica delle funzioni di cifratura. Il cifrario deve avere buone proprietà statistiche e èprobabilistiche. Questo tipo di sicurezza è una nozione indipendente dalla teoria della complessità, dipende solo dalla struttura probabilistica dei cifrari.


In questa sezione assumeremo che, una volta assegnato un crittosistema $(\mathcal P, \mathcal C, \mathcal K, \mathcal E, \mathcal D)$, una particolare chiave $K \in \mathcal K$ è utilizzata per una sola cifratura.

Supponiamo che esista una distribuzione di probabilità su $\mathcal P$. Denotiamo la probabilità *a priori* che l'elemento $x$ del plaintext accada come $P[\textbf{x}=x]$. Assumiamo inoltre che anche la chiave $K$ sia scelta secondo una distribuzione di probabilità. Denotiamo la probabilità che la chiave $K$ sia scelta come $P[\textbf{K}=K]$. La chiave e il plaintext sono considerati variabili indipendenti.

Le distribuzioni di probabilità su $ \mathcal P$ e $\mathcal K$ inducono una distribuzione di probabilità su $\mathcal C$. Calcoliamo la probabilità $P[\textbf{y}=y]$ che l'elemento $y$ sia il testo cifrato trasmesso.

Definiamo

$$C(K)=\{e_K(x):x\in\mathcal P\}$$

Dunque per ogni $y \in \mathcal C$ abbiamo 

$$ P[\textbf{y}=y]=\sum_{K:y\in C(K)}P[\textbf{K}=K]P[\textbf{x}=d_k(y)]$$

Possiamo inoltre calcolare per ogni $y \in \mathcal C$, $x \in \mathcal P$ la probabilità condizionata $P[\textbf{y}=y|\textbf{x}=x]$. Essa è pari a:

$$P[\textbf{y}=y|\textbf{x}=x]=\sum_{K:x=d_k(y)}P[\textbf{K}=K]$$

Attraverso il teorema di Bayes è quindi possibile calcolare un dato più utile, ossia la probablità condizionata $P[\textbf{x}=x|\textbf{y}=y]$. Essa è pari a

$$P[\textbf{x}=x|\textbf{y}=y]=\frac{P[\textbf{x}=x]\sum_{K:x=d_k(y)}P[\textbf{K}=K]}{\sum_{K:y\in C(K)}P[\textbf{K}=K]P[\textbf{x}=d_k(y)]}$$

**Definizione**

Un cifrario si dice avere *sicurezza perfetta* se $P[\textbf{x}=x|\textbf{y}=y]=P[\textbf{x}=x]$ per ogni $x \in \mathcal P$, $y \in \mathcal C$

**Teorema**

Sia $(\mathcal P, \mathcal C, \mathcal K, \mathcal E, \mathcal D)$ un cifrario dove $|\mathcal K|=|\mathcal C|=|\mathcal P|$. Alllora il cifrario è perfettamente sicuro se e solo se ogni chiave viene scelta con uguale probabilità $\frac{1}{|K|}$ e per ogni $x \in \mathcal P$ e $y \in \mathcal C$ esiste un'unica chiave tale che $e_k(x)=y$.

**Dimostrazione** $\Rightarrow)$ Fissato $x \in \mathcal P$, $f : \mathcal  \to \mathcal C$ tale che $k \mapsto e_k(x)$.  $f$ è surgettiva per la sicurezza perfetta. Dall'ipotesi segue che $f$ è bigettiva. Data la generalità di x abbiamo che per ogni x e per ogni y esiste un'unica chiave tale che $e_k(x)=y$

Fissiamo $y$. Dobbiamo provare che su $k$ c'è la distribuzione uniforme. Da quanto appena dimostrato risulta che $g_k : \mathcal K \to \mathcal P$ è bigettiva. Allora vi è una corrispondenza 1-1 tra $\mathcal K$ e $\mathcal P$. Dall'unicità della chiave segue che 

$P[y | x_i]=P(k_i)$ per ogni i.

Dalla sicurezza perfetta:

$P(y)=P[y | x_i]=P(k_i)$ per ogni i. 

Siccome y è fissato, segue che k ha distribuzione uniforme $P(k_i)=\frac{1}{n}$ per ogni i. Ne segue che $\mathcal C$ ha probabilità uniforme.

$\Leftarrow)$ Sfruttando ancora una volta la bigezione, si ha, fissato y. Dalla condizione di distribuzione uniforme, bbiamo $P[y| x_i]=P[k_i]=\frac{1}{n} (unica chiave).

$P(y)=\sum_{i=1}^n P(k_i) P(x_i)=\frac{1}{n}\sum_{i=1}^n P(x_i)=\frac{1}{n}$ per ogni y. 

Allora anche $\mathcal C$ ha distribuzione uniforme e il cifrario ha sicurezza perfetta $P(y)=\frac{1}{n}=P[y|x_i]$ per ogni i.

q.e.d

Consideriamo ora un esempio di cifrario che possiede sicurezza perfetta:

### One time Pad

Sia $n \ge 1$ un intero e siano $\mathcal P = \mathcal C= \mathcal K= (\textbf{Z}_2)^n$. Per ogni $K \in (\textbf{Z}_2)^n$ definiamo

$$e_K(x)=(x_1+K_1\dots x_n+K_n) \pmod{2}$$

La decifratura è uguale alla cifratura, dato $ y \in (\mathbb{Z}_2)^n$ abbiamo

$$d_k(y)=(y_1+K_1\dots,y_n+K_n) \pmod{2}$$

In [177]:
def OneTimePad(x,K):
    
    #converto x e K in forma di stringa, così da poterli confrontare 
    
    x=str(x)
    K=str(K)
    
    if len(x) != len(K):
        print('invalid key')
        return
    
    
    y=''
    
    for i in range(len(x)):
        if x[i]==K[i]:
            y=y+'0'
        else:
            y=y+'1'
          
        
    print(y)    

In [178]:
x='110010'
K='011101'
OneTimePad(x,K)

101111


### Entropia dell'informazione

L'*entropia* è pensata come una misura matematica dell'informazione o dell'incertezza ed è computata come una funzione di distribuzione di probabilità.

Sia $\textbf{X}$ una variabile aleatoria discreta su $X$. Definiamo l'*entropia* della variabile $\textbf{X}$ nel seguente modo

$$H(\textbf{X})=-\sum_{x\in X}P[x]\log_2 P[x]$$.

$H(\textbf{X})\geq 0$, perché $P(x)\leq 1.$ Se $H(\textbf{X})=0$, l'ordine è massimo, cioè abbiamo un solo elemento$x_0 \in X$ con $P(x)=1$. E quindi$ H(\textbf{X})=P[x_0]\log_2 P[x_0]=0$.
Se $\mathcal X$ è la distribuzione uniforme (massimo disordine), $H(\textbf{X})= \log |X|$.

A meno di una costante l'entropia si può definire rispetto a qualsiasi base del $\log$.

# Codifica-compressione
Sia $\textbf{X}$ una variabile aleatoria discreta. Si dice codifica-compressione una funzione $$f:X  \rightarrow \{0,1\}^*:=\cup_{n\leq 0} \{ 0,1 \}^n$$.

Questa notazione è usata per indicare stringhe di lunghezza arbitraria.

Questo concetto si può estendere come segue.


### Huffman encodings

Sia $\textbf{X}$ una variabile aleatoria discreta. Si dice *encoding* di $\textbf{X}$ ogni funzione 

$$f:X  \rightarrow \{0,1\}^*$$

dove $\{0,1\}^*$ denota tutte le stringhe finite di $0$ e $1$.

Data una lista finita di eventi $x_1, \dots, x_n$ dove $x_i \in X$, possiamo estendere $f$ in questo modo:

$$f(x_1, \dots, x_n)=f(x_1)|| \cdots  ||f(x_n)$$

 $||$ indicano la concatenazione delle stringhe, ovvero la giustapposizione. Una codifica è corretta se $f$ è bigettiva. 

Una quantità importante è la lunghezza media
$$l(f)=\sum_{x \in X}P[x]|f(x)|$$
dove $|y|$ denota la lunghezza di una stringa $y$.

La lunghezza media della codifica $f(x)$ di un elemento $x \in X$ è ottimale se $l(f)$ è minimo (tra tutte le compressioni).

La proprietà legata ad un encoding che permette un decoding semplice e sequenziale è detta *prefix-free property*, per cui non esistono due elementi $x,y\in X$ e una stringa $z\in\{0,1\}^*$ per cui $g(x)=g(y)||z$.

L'entropia è legata all'efficienza dell'encoding.

Il nostro obiettivo è quello di trovare un encoding ingettivo $f$, che minimizzi $l(f)$. Questo problema è risolvibile attraverso l'algoritmo di Huffman, che è prefix-free e tale che 

$$H(\textbf{X}) \le l(f) < H(\textbf{X})+1.$$

Pertanto l'entropia produce una stima della lunghezza media di un encoding ottimale.

Nel caso in cui $X$ avesse distribuzione uniforme, $f(x)$ vettore di n bit per ogni  $x \in X$, con $\log_2 |X| \cong n$. Quindi $l(f)=n=H(\textbf X)$

Una codifica|compressione ottimale è realizzata dall'algoritmo di Huffman.

### Algoritmo di Huffman

Diamo una breve descrizione dell'algoritmo di Huffman.
Sia $\textbf{X}$ una variabile aleatoria discreta su $X$.

- consideriamo dapprima gli elementi di $X$, $x_1$ e $x_2$, con probabilità più bassa;

- si assegna valore 0 all'elemento con probabilità minore tra $x_1$ e $x_2$ e valore 1 all'elemento con probabilità maggiore;

- si trasforma la coppia $x_1$ e $x_2$ in un unico elemento la cui probabilità è pari alla somma delle probabilità dei singoli;

- si ripete finchè $|X|=1$ a cui assegnare il valore '1';

- si costruisce l'encoding  dei rimanenti elementi procedendo al contrario dall'elemento finale a quello iniziale.

Questo algoritmo garantisce che gli elementi $x \in X$con probabilità più alta vengano codificati con meno bit.

In [179]:
def Huff_enc(X,p):
    
    
    Space_Prob = {X[i]: p[i] for i in range(len(X))}
    
    
    f= {X[i]: '' for i in range(len(X))}
    
    #cerco gli elementi con probabilità più bassa 
    
    for i in range(len(X)-1):
        Space_ordered=sorted(Space_Prob.items(),key = lambda x: x[1], reverse = False)
        
        x1=Space_ordered[0][0]
        x2=Space_ordered[1][0]
        
        #assegno i valori 0 e 1 
        
        for j in x1:
            f[j]='0'+f[j]
        for j in x2:
            f[j]='1'+f[j]
        
        #riassegno gli elementi 
        
        new_el=x1
        for h in x2:
            if h not in new_el:
                new_el=new_el+h
        
        #riassegno la probabilità con la somma delle probabilità
       
        prob_new=Space_Prob[x1]+Space_Prob[x2]
        
        Space_Prob[new_el]=prob_new
        del Space_Prob[x1]
        del Space_Prob[x2]
        
        
        
    
    return f


In [180]:
X='cdbae'
p=[.05,.10,.12,.13,.60]
Huff_enc(X,p)

{'c': '000', 'd': '001', 'b': '010', 'a': '011', 'e': '1'}

Creiamo un encoding dell'alfabeto inglese, utilizzando la statistica sulla frequenza delle lettere.

In [181]:
X='abcdefghijklmnopqrstuvwxyz'
p=[0.082,0.015,0.028,0.043,0.127,0.022,0.020,0.061,0.07,0.002,0.008,0.04,0.024,0.067,0.075,0.019,0.001,0.06,0.063,0.091,0.028,0.01,0.023,0.001,0.020,0.001]
Huff_enc(X,p)

{'a': '1110',
 'b': '110000',
 'c': '01000',
 'd': '11111',
 'e': '100',
 'f': '00100',
 'g': '111100',
 'h': '0110',
 'i': '1011',
 'j': '001101011',
 'k': '0011011',
 'l': '11001',
 'm': '00111',
 'n': '1010',
 'o': '1101',
 'p': '110001',
 'q': '001101000',
 'r': '0101',
 's': '0111',
 't': '000',
 'u': '01001',
 'v': '001100',
 'w': '00101',
 'x': '001101001',
 'y': '111101',
 'z': '001101010'}

In [182]:
def entropia(X,p):
    
    import math

    H=0
    for i in range(len(X)):
        H=H+p[i]*math.log(p[i],2)
        
    return -H    

def average_len(f,p):
    
    #f è un dizionario
    
    f=list(f.values())
    l=0
    for i in range(len(f)):
        l=l+len(f[i])*p[i]
    return l    

In [183]:
X='cdbae'
p=[.05,.10,.12,.13,.60]
f=Huff_enc(X,p)
l=average_len(f,p)
H=entropia(X,p)
print('l\'entropia è pari a:')
print(H)
print('la lunghezza media dell\'encoding ottimale è pari a:')
print(l)
print('H<l<H+1?')
print(H<l and l<(H+1))

l'entropia è pari a:
1.74017995473163
la lunghezza media dell'encoding ottimale è pari a:
1.80000000000000
H<l<H+1?
True


### Alcune proprietà dell'entropia

**Teorema**

Sia $\textbf{X}$ una variabile aleatoria con disitribuzione di probabilità che assume valori $p_1, p_2, \dots p_n$ con $p_i >0$. Allora $H(\textbf{X})\le \log_2(n)$ e l'uguaglianza vale se e solo se $p_i= \frac{1}{n}$ per ogni $1 \le i \le n$.

**Dimostrazione** Applicando la disuguaglianza di Jensen:
$H(\textbf X)=\sum_{i=1}^n p_i \log{\frac{1}{p_i}} \leq \log{\sum_{i=0}^n p_i \frac{1}{p_i}}=\log_2 n$.
q.e.d


**Teorema**

$H(\textbf{X},\textbf{Y}) \leq H(\textbf{X})+H(\textbf{Y})$ e l'uguaglianza vale se e solo se $\textbf{X}$ e $\textbf{Y}$ sono due variabili indipendenti. 

**Dimostrazione** 
Siano $\textbf X =\{x_1, \ldots, x_n \}, \textbf Y= \{y_1, \ldots, y_m\}, P(x_i)=p_i, P(y_j)=q_j$.
Sul prodotto cartesiano di $X ed Y$, sia $(x_i,y_j)=r_{ij}$. Si ha $p_i=P[X=x_i]=\sum_{j=0}^nr_{ij}$ e $q_{j}=\sum_{i=0}^m r_{ij}$. Calcoliamo:

$H(\textbf X)+ H(\textbf Y)=-(\sum_i^np_i \log{p_i}+\sum_j^nq_j \log{q_j})=-\sum_i \sum_j r_{ij} \log{p_i q_j}$.
Dalla'altra parte 

$H(\textbf{X}, \textbf{Y})=-\sum_i \sum_j r_{ij} \log r_{ij}$.
Calcoliamo

$H(\textbf{X}, \textbf{Y})-H(\textbf{X})-H(\textbf{Y})=$$\sum_i \sum_j r_{ij}$$\log{\frac{p_iq_j}{r_{ij}}}$ $ \leq \log{\sum_i \sum_j p_i q_j}=\log{1}=0$.

Allora $H(\textbf{X}, \textbf{Y})\leq H(\textbf{X})+H(\textbf{Y})$.
Abbiamo l'uguaglianza se $\frac{p_i q_j}{r_{ij}}=c$ c costante. In realtà $c=1$, infatti
poiché $\sum_i \sum_j r_{ij}=\sum_i \sum_j c p_i q_j=1, allora c=1$.Questo equivale a dire che  $\textbf X$ ed $\textbf Y$ sono eventi indipendenti.

q.e.d.

**Definizione**

Siano $\textbf{X}$ e $\textbf{Y}$ due variabili aleatorie. Allora per ogni $y \in \textbf{Y}$ fissato viene indotta una distribuzione di probabilità condizionata su $\textbf{X}$. Denotiamo la variabile aleatoria associata $\textbf{X}|y$. Risulta allora:

$$H(\textbf{X}|y)=-\sum_xP[x|y]\log_2(P[x|y])$$

Definiamo l'*entropia condizionata* come segue:

$$H(\textbf{X}|\textbf{Y})=-\sum_y\sum_xP[y]P[x|y]\log_2(P[x|y])$$

L'entropia condizionata misura la media dell'informazione di $\textbf{X}$ che non è rivelata da $\textbf{Y}$

**Teorema**

$H(\textbf{X},\textbf{Y})=H(\textbf{Y})+H(\textbf{Y}|\textbf{X})$

**Corollario**

$H(\textbf{X}|\textbf{Y}) \le H(\textbf{Y})$.

In crittografia abbiamo le v. a. $\mathcal K$ e $\mathcal P$ da cui determiniamo $\mathcal C$. Per ipotesi $\mathcal K$ e $\mathcal P$ sono indipendenti, in generale su $\mathcal K$ c'è distribuzione uniforme.

Caso peggiore $H(\mathcal K | \mathcal C)=0$ cioè la chiave è determinata univocamente in modo probabilistico.

### Chiavi spurie

Definiamo prima di tutto le relazioni che sussistono tra le entropie delle varie componenti di un crittosistema.
L'entropia condizionata $H(\textbf{K}|\textbf{C})$ è detta *key equivocation* e rappresenta la quantità di incertezza sulla chiave una volta noto il ciphertext.

**Teorema**

$H(\textbf{K}|\textbf{C})=H(\textbf{K})+H(\textbf{P})-H(\textbf{C})$.

**Dimostrazione**

Prima di tutto osserviamo che $H(\textbf{K},\textbf{P},\textbf{C})=H(\textbf{C}|\textbf{K},\textbf{P})+H(\textbf{K},\textbf{P})$. 
Essendo $y=e_K(x)$, si ha che la chiave e il plaintext determinano il ciphertext unicamente. Questo implica che 

$$H(\textbf{C}|\textbf{K},\textbf{P})=0.$$

Da cui $$H(\textbf{K},\textbf{P},\textbf{C})=H(\textbf{K},\textbf{P}).$$ 

Ma sappiamo che $\textbf{K}$ e $\textbf{P}$ sono indipendenti, quindi, in virtù del teorema precedente

$$H(\textbf{K},\textbf{P})=H(\textbf{K})+H(\textbf{P}).$$ 

Da cui: $$H(\textbf{K},\textbf{P},\textbf{C})=H(\textbf{K})+H(\textbf{P}).$$

In maniera analoga, poichè $x=d_K(y)$ e quindi la chiave e il ciphertext determinano il plaintext unicamente, si ha che $$H(\textbf{P}|\textbf{K},\textbf{C})=0$$ 

e dunque 
$$H(\textbf{K},\textbf{P},\textbf{C})=H(\textbf{K},\textbf{C}).$$ 

Valutiamo ora: 

$$H(\textbf{K}|\textbf{C})=H(\textbf{K},\textbf{C})-H(\textbf{C})= H(\textbf{K},\textbf{P},\textbf{C})-H(\textbf{C})= H(\textbf{K})+H(\textbf{P})-H(\textbf{C}).$$


Ricordando che lo scopo principale della crittoanalisi è quello di determinare la chiave, assumiamo che il nostro opponente abbia a disposizione infinite risorse di calcolo, che si faccia uso di un linguaggio naturale quale l'inglese, e che il metodo utilizzato sia il ciphertext only attack.

É possibile che l'opponente trovi diverse chiave possibili (cioè che in fase di cifratura restituscono ciphertext con un senso logico), ma fra queste solo una è corretta. Una chiave possibile ma non corretta viene detta *chiave spuria*.

Il nostro obiettivo è quello di dare una stima del numero di chiavi spurie.

**Definizione**

Sia $L$ un linguaggio naturale. Denotata con $\textbf{P}^n$ una variabile aleatoria la cui distribuzione di probabilità è quella degli $n$-grami del plaintext, l'*entropia* di $L$ è definita come la quantità:

$$H_L=\lim_{n\rightarrow\infty}\frac{H(\textbf{P}^n)}{n}$$
    
e la *ridondanza* di $L$ è definita come 

$$R_L=1-\frac{H_L}{\log_2|\mathcal P|}$$

**Nota**: Un linguaggio casuale avrebbe entropia pari a $\log_2|\mathcal P|$

Denotata con $\textbf{C}^n$ la variabile aleatoria la cui distribuzione di probabilità è quella degli $n$-grammi di chipertext, dato $y \in \textbf{C}^n$, definiamo:

$$K(y)=\{K \in \mathcal K : \exists x \in \mathcal P^n \, tale \, che \, Pr[x]>0 \land e_k(x)=y\}$$

cioè l'insieme delle possibili chiavi. Il numero di chiavi spurie sarà pari a $|K(y)|-1$, considerando che solo una è la chiave corretta.

Il numero medio di chiavi spurie è dato da:

$$\bar{s}_n= \sum_{y \in \mathcal C^n}Pr[y](|K(y)|-1)= \sum_{y \in \mathcal C^n}Pr[y]|K(y)|-1.$$

Sappiamo che

$$H(K|C^n)=H(K)+H(P^n)-H(C^n)$$

Possiamo inoltre stimare, supposto $n$ sufficientemente grande, 

$$H(P^n)\approx nH_L=n(1-R_L)\log_2(\mathcal P)$$

Certamente $$H(C^n)\le n\log_2(|\mathcal C|)$$

Dunque se $|\mathcal P|=|\mathcal C|$:

$$H(K|C^n)\ge H(K)-nR_L\log_2(|\mathcal P|)$$

Possiamo ottenere la seguente stima:

$$H(K|C^n)\le \log_2(\bar{s}_n+1)$$

Da cui otteniamo

$$\log_2(\bar{s}_n+1) \ge H(K)-nR_L\log_2(|\mathcal P|))$$

**Teorema**

Dato un cifrario $(\mathcal P, \mathcal C, \mathcal K, \mathcal E, \mathcal D)$ dove $|\mathcal P|=|\mathcal C|$ e dove le chiavi sono scelte in modo equiprobabile. Sia $R_L$ la ridondanza del linguaggio scelto. Allora dato un chipertext di lunghezza $n$, il numero atteso di chiavi spurie soddisfa la seguente disuguaglianza:

$$\bar{s}_n \ge \frac{|\mathcal K|}{|\mathcal P^{nR_L}|}-1$$

**Definizione**

L' *unicità di distanza* di un cifrario è il valore $n_0$ per cui il numero atteso di chiavi spurie è pari a 0.

Dal teorema precedente otteniamo una stima $$n_0 \approx \frac{\log_2(|\mathcal K|)}{R_L\log_2(|\mathcal P|)}$$

### Capitolo 3 


# Cifrari a blocchi 

I cifrari a blocchi moderni sono cifrari prodotto, cioè cifrari che incorporano diverse operazioni in sequenza di permutazione e sostituzione. Sono spesso chiamati cifrari iterati. Essi richiedono una specifica **funzione di round** a un **key schedule** (un algoritmo che consente la creazione delle chiavi ad ogni round) e la criptatura del plaintext avviere attravero gli $N_r$ round in maniera simile.

Sia $K$ una chiave binaria casuale di una specifica lunghezza. $K$ è utilizzata per costruire le $N_r$ chiavi di round (chiamate anche 'sottochiavi'). L'algoritmo del key schedule è fisso e pubblico. 

La funzione di round, detta $g$, prende due input: la chiave di round $K^r$ e lo stato corrente $w^{r-1}$. Il successivo è definito come $w^r=g(w^{r-1},K^r).$ Lo stato iniziale $w^0$ è definito dal plaintext. Le operazioni sono implementate come segue:

* $w_0 \leftarrow x$

* $w^1 \leftarrow g(w^o, K^1)$

* $w^2 \leftarrow g(w^1,K^2)$

* $ \vdots \vdots \vdots$ 

* $ w^{N_r} \leftarrow g(w^{N_r-1},K^{N_r})$

* $ y \leftarrow w^{N_r}$


Affinchè sia possibile decriptare la funzione di round $g$ deve essere iniettiva se il secondo argomento è fissato. Questo equivale infatti a dire che esiste una funzione $g^{-1}$ con la proprietà per cui: $$g^{-1}(g(\omega,y),y)=\omega$$ per ogni $\omega$ e $y$. 

### Substitution permutation network

Siamo $l$, $m$ e Nr degli interi positivi, sia $\pi_S: \{0,1\}^l \rightarrow \{0,1\}^l$ una permutazione, chiamata anche **S-box**, che sostituisce $l$ bit con un insieme differente di $l$ bit e sia $\pi_P: (1,\dots, lm)\rightarrow (1,\dots,lm)$ una usuale permutazione, che permuta $l\cdot m$ bit. Siano $\mathcal P= \mathcal C= \{0,1\}^{lm}$, sia $\mathcal K \subseteq(\{0,1\}^{lm})^{Nr+1}$ l'insieme di tutti i possibili schemi di chiavi ricavabili da una chiave iniziale $K$ utilizzando un algoritmo di generazione di chiavi. Per ogni schema di chiavi $(K^1, \dots, K^{Nr+1})$ cifriamo il plaintext $x$.
La SPN consiste di $N_r$ round. In ognuno di essi, eccezion fatta per l'ultimo round, eseguiamo $m$ sostituzioni usando $\pi_S$, seguiti dalla permutazione $\pi_P$. Prima di ogni operazione di sostituzione, incorporiamo i bit delle chiavi di round con un'operazione di exclusive-or. 

Se $u^r$ è l'input della S-box nel round $r$, $v^r$ è l'output di quest'ultima e $w^r$ è ottenuta da $v^r$ applicando $\pi_P$, $u^{r+1}$ è costruito da $w^r$ con l'operazione di xor con la chiave $K^{r+1}$ e nell'ultimo round non applichiamo la permutazione $\pi_P$, allora l'algoritmo è il seguente:


**Algoritmo** SPN($x,\pi_S,\pi_P,(K^1,\dots,K^{Nr+1})$)


* $w_0 \leftarrow x$

* for $r \leftarrow 1$ to $Nr-1$
    
   + $u^r \leftarrow w^{r-1} \bigoplus K^r$
    
   + for $i = 1 ,\dots, m$
   
     - $v_{<i>}^r\leftarrow \pi_S(u_{<i>}^r)$
     
   + $w^r\leftarrow (v_{\pi(1)},\dots,v_{\pi(lm)}^r)$ 
   
* $u^{Nr}\leftarrow w^{Nr-1} \oplus K^{Nr}$

* for $i = 1 ,\dots, m$

   + $v_{<i>}^r\leftarrow \pi_S(u_{<i>}^r)$
   
* $y \leftarrow v^{Nr} \oplus K^{Nr+1}$    



In [5]:
def SPN(x,K):
    
    hexa='0123456789ABCDEF'
    
    esa={'0000': '0', '0001': '1', '0010': '2', '0011': '3', '0100': '4','0101':'5','0110':'6', '0111': '7', '1000': '8', '1001': '9', '1010': 'A', '1011': 'B', '1100': 'C', '1101': 'D', '1110': 'E', '1111': 'F'}
    
    esa2={'0': '0000', '1': '0001', '2': '0010', '3': '0011', '4': '0100','5':'0101','6':'0110', '7': '0111', '8': '1000', '9': '1001', 'A': '1010', 'B': '1011', 'C': '1100', 'D': '1101', 'E': '1110', 'F': '1111'}
    
    pi_S='E4D12FB83A6C5907'  #definizione della S-box
    
    pi_P=[1,5,9,13,2,6,10,14,3,7,11,15,4,8,12,16]  #definizione della permutazione
    
    w=x
    
    for r in range(3):
        Kr=K[4*r:4*r+16]
        #somma xor di w+K
        u=''
        for k in range(16):
            if w[k]==Kr[k]:
                u=u+'0'
            else:
                u=u+'1'
        #permutazione tramite pi_S
        v=''        
        for i in range(4) :
            vi=esa2[pi_S[hexa.index(esa[u[4*i:4*i+4]])]]
            v=v+vi
        #w = permutazione di v
        t=''
        for j in range(16):
            ti=v[pi_P[j]-1]
            t=t+ti
        w=t
    Kr=K[12:12+16]
    print('K =',Kr)
    u=''
    for k in range(16):
        if w[k]==Kr[k]:
            u=u+'0'
        else:
            u=u+'1'
    print('u=',u)        
    v=''        
    for i in range(4) :
        vi=esa2[pi_S[hexa.index(esa[u[4*i:4*i+4]])]]
        v=v+vi
    print('v=',v)    
    Kr=K[-16:]
    print('last K=',Kr)
    y=''
    for k in range(16):
        if v[k]==Kr[k]:
            y=y+'0'
        else:
            y=y+'1'
    
    return y

In [6]:
x='0110101010110101'
K='00011010100101101001011000100111'
SPN(x,K)

K = 0110100101100010
u= 1111010001010010
v= 0111001011111101
last K= 1001011000100111


'1110010011011010'

## Cifrari di Feistel

Il DES è un cifrario iterato, ottenuto come caso particolare di un *cifrario di Feistel*. La struttura inventata da Feistel ha il vantaggio che la cifratura e la decifratura sono operazioni molto simili, spesso identiche, e che basta invertire il funzionamento del gestore della chiave per ottenere l'operazione inversa: quindi i circuiti di cifratura e decifratura sono spesso gli stessi.

In un cifrario di questo tipo ogni stato $u^i$ è diviso in due metà di uguale lunghezza chiamate $L^i$ e $R^i$. La funzione round $g$ è definita come segue: $g(L^{i-1},R^{i-1},K^i)=(L^i,R^i)$ dove 

$$L^i=R^{i-1}$$

$$R^i=L^{i-1}\oplus f(R^{i-1},K^i)$$

Notiamo che la funzione $f$ è qualsiasi e non ha bisogno di soddisfare nessuna proprietà di ingettività, in quanto un round di tipo Feistel è sempre invertibile: una volta assegnata la chiave di round è sufficiente scambiare $L$ e $R$ e inserire le chiavi in ordine inverso 

$$L^{i-1}=R^i \oplus f(L^i, K^i)$$ 

$$R^{i-1}=L^i.$$

-L'aumento della grandezza del blocco aumenta la sicurezza ma rallenta la velocità di cifratura e decifratura.

-L'aumento della lunghezza della chiave aumenta la sicurezza e rende la ricerca esaustiva più difficile ma rallenta l'algoritmo.

-L'aumento del numero di round aumenta la sicurezza ma rallenta l'algoritmo.

-L'aumento di complessità della funzione $f$ rende l'analisi più difficile ma rallenta l'algoritmo.

## Data encryption standard

Il DES è un cifrario di Feistel a 16 round i cui blocchi hanno lunghezza 64 bit: il cipherthext di lunghezza 64 bit è ottenuto criptando un plaintext $x$ della stessa lunghezza, e cifrato utilizzando una chiave di 56 bit.  

Prima dei 16 round viene applicata al testo una permutazione iniziale $\textbf{IP}$ fissata. Denotiamo:

$$\textbf{IP}(x)=L^0R^0$$

Alla fine dei 16 round, invece, viene applicata la permutazione inversa, ottenendo il ciphertext $y$

$$y=\textbf{IP}^{-1}(R^{16},L^{16})$$

Descriviamo l'implementazione della **funzione f**:

La funzione 

$$f:\{0,1\}^{32}\times \{0,1\}^{48}\rightarrow \{0,1\}^{32}$$

prende in input una stringa di 32 bit e una chiave di 48 bit.

Costruiamo il key schedule $(K^1,\dots,K^{16})$ che è costituito da chiavi da 48 bit derivate dalla chiave $K$ di 56 bit, ove ognuna di esse è ottenuta tramite una permutazione dei bit di $K$.

Denominati $A$ e $J$ rispettivamente il primo e secondo argomento di $f$, i passaggi per calcolare $f(A,J)$ sono i seguenti:

**1)** Viene utilizzata una *funzione di espansione* $E(A)$ per estendere $A$ ad una string di 48 bit, effettuando delle semplici operazioni di duplicazione; 

**2)** Si calcola il valore di $E(A)\oplus J$ e il risultato viene espresso tramite la concatenazione di 8 stringhe da 6 bit $B=B_1B_2B_3B_4B_5B_6B_7B_8$;

**3)** Si applicano 8 $S$-box denotati $S_1, \dots, S_8$ dove ogni 

$$S^i:\{0,1\}^6\rightarrow \{0,1\}^4.$$ 

Data una stringa di lunghezza 6 $B_j=b_1b_2b_3b_4b_5b_6$, $S_j(B_j)$ viene calcolata nel seguente modo: $b_1b_6$ sono la rappresentazione binaria di una riga $r$ di $S_j$ e i 4 bit $b_1b_2b_3b_4$ sono la rappresentazione binaria di una colonna $c$ di $S_j$ (ove $1\leq r \leq 3$, mentre $1\leq c \leq 15$). Allora $S_j(B_j)$ è data dalla rappresentazione binaria di $S_j(r,c)$ tramite una stringa di lunghezza 4. Poniamo $C_j=S_j(B_j)$ con $1 \leq j \leq 8$;

**4)** Si applica la permutazione $\textbf{P}$ alla stringa $$C=C_1C_2C_3C_4C_5C_6C_7C_8$$ di lunghezza 32 bit  

La funzione di espansione $E$ è data dalla seguente tabella:

In [7]:
E=[32,1,2,3,4,5,4,5,6,7,8,9,8,9,10,11,12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21,22,23,24,25,24,25,26,27,28,29,28,29,30,31,32,1]

Data una stringa $A=(a_1,a_2,\dots,a_{32})$ allora $E(A)$ è data dalla seguente stringa 

$$E(A)=(a_{32},a_1,a_2,a_3,a_4,a_5,a_4,\dots, a_{31},a_{32},a_1)$$

La permutazione $\textbf{P}$ è definita nel seguente modo:

In [8]:
P=[16,7,20,21,29,12,28,17,1,15,23,26,5,18,31,10,2,8,24,14,32,27,3,9,19,13,30,6,22,11,4,25]

data la stringa $C=(c_1,c_2,\dots,c_{32})$ allora $P(C)$ è definita nel seguente modo: 

$$P(C)=(c_{16},c_7,c_{20},\dots,c_4,c_{25})$$

Gli $S$-box sono definiti nel seguente modo:

In [9]:
SBOX = [
         
[[14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 12, 5, 9, 0, 7],
 [0, 15, 7, 4, 14, 2, 13, 1, 10, 6, 12, 11, 9, 5, 3, 8],
 [4, 1, 14, 8, 13, 6, 2, 11, 15, 12, 9, 7, 3, 10, 5, 0],
 [15, 12, 8, 2, 4, 9, 1, 7, 5, 11, 3, 14, 10, 0, 6, 13],
],

[[15, 1, 8, 14, 6, 11, 3, 4, 9, 7, 2, 13, 12, 0, 5, 10],
 [3, 13, 4, 7, 15, 2, 8, 14, 12, 0, 1, 10, 6, 9, 11, 5],
 [0, 14, 7, 11, 10, 4, 13, 1, 5, 8, 12, 6, 9, 3, 2, 15],
 [13, 8, 10, 1, 3, 15, 4, 2, 11, 6, 7, 12, 0, 5, 14, 9],
],

[[10, 0, 9, 14, 6, 3, 15, 5, 1, 13, 12, 7, 11, 4, 2, 8],
 [13, 7, 0, 9, 3, 4, 6, 10, 2, 8, 5, 14, 12, 11, 15, 1],
 [13, 6, 4, 9, 8, 15, 3, 0, 11, 1, 2, 12, 5, 10, 14, 7],
 [1, 10, 13, 0, 6, 9, 8, 7, 4, 15, 14, 3, 11, 5, 2, 12],
],

[[7, 13, 14, 3, 0, 6, 9, 10, 1, 2, 8, 5, 11, 12, 4, 15],
 [13, 8, 11, 5, 6, 15, 0, 3, 4, 7, 2, 12, 1, 10, 14, 9],
 [10, 6, 9, 0, 12, 11, 7, 13, 15, 1, 3, 14, 5, 2, 8, 4],
 [3, 15, 0, 6, 10, 1, 13, 8, 9, 4, 5, 11, 12, 7, 2, 14],
],  

[[2, 12, 4, 1, 7, 10, 11, 6, 8, 5, 3, 15, 13, 0, 14, 9],
 [14, 11, 2, 12, 4, 7, 13, 1, 5, 0, 15, 10, 3, 9, 8, 6],
 [4, 2, 1, 11, 10, 13, 7, 8, 15, 9, 12, 5, 6, 3, 0, 14],
 [11, 8, 12, 7, 1, 14, 2, 13, 6, 15, 0, 9, 10, 4, 5, 3],
], 

[[12, 1, 10, 15, 9, 2, 6, 8, 0, 13, 3, 4, 14, 7, 5, 11],
 [10, 15, 4, 2, 7, 12, 9, 5, 6, 1, 13, 14, 0, 11, 3, 8],
 [9, 14, 15, 5, 2, 8, 12, 3, 7, 0, 4, 10, 1, 13, 11, 6],
 [4, 3, 2, 12, 9, 5, 15, 10, 11, 14, 1, 7, 6, 0, 8, 13],
], 

[[4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 7, 5, 10, 6, 1],
 [13, 0, 11, 7, 4, 9, 1, 10, 14, 3, 5, 12, 2, 15, 8, 6],
 [1, 4, 11, 13, 12, 3, 7, 14, 10, 15, 6, 8, 0, 5, 9, 2],
 [6, 11, 13, 8, 1, 4, 10, 7, 9, 5, 0, 15, 14, 2, 3, 12],
],
   
[[13, 2, 8, 4, 6, 15, 11, 1, 10, 9, 3, 14, 5, 0, 12, 7],
 [1, 15, 13, 8, 10, 3, 7, 4, 12, 5, 6, 11, 0, 14, 9, 2],
 [7, 11, 4, 1, 9, 12, 14, 2, 0, 6, 10, 13, 15, 3, 5, 8],
 [2, 1, 14, 7, 4, 10, 8, 13, 15, 12, 9, 0, 3, 5, 6, 11],
]
]


Le permutazioni $\textbf{IP}$ e la sua inversa sono definite nel seguente modo:

In [10]:
IP = [58, 50, 42, 34, 26, 18, 10, 2,
      60, 52, 44, 36, 28, 20, 12, 4,
      62, 54, 46, 38, 30, 22, 14, 6,
      64, 56, 48, 40, 32, 24, 16, 8,
      57, 49, 41, 33, 25, 17, 9, 1,
      59, 51, 43, 35, 27, 19, 11, 3,
      61, 53, 45, 37, 29, 21, 13, 5,
      63, 55, 47, 39, 31, 23, 15, 7]
IP_inv= [40, 8, 48, 16, 56, 24, 64, 32,
        39, 7, 47, 15, 55, 23, 63, 31,
        38, 6, 46, 14, 54, 22, 62, 30,
        37, 5, 45, 13, 53, 21, 61, 29,
        36, 4, 44, 12, 52, 20, 60, 28,
        35, 3, 43, 11, 51, 19, 59, 27,
        34, 2, 42, 10, 50, 18, 58, 26,
        33, 1, 41, 9, 49, 17, 57, 25]

## Descrizione key schedule ##

Il key schedule è l'algoritmo che permette di generare, a partire da una chiave di 64 bit, 16 chiavi da 48 bit l'una da utilizzare nell'algoritmo del DES. È un elemento critico del sistema e pertanto deve essere un meccanismo abbastanza caotico.

L'algoritmo è il seguente:

**1)** 8 bit della chiave K vengono scartati o usati come controllo, i restanti 56 vengono sottoposti ad una prima permutazione $PC_1$;

In [11]:
PC_1 = [57, 49, 41, 33, 25, 17, 9,          
        1, 58, 50, 42, 34, 26, 18,
        10, 2, 59, 51, 43, 35, 27,          
        19, 11, 3, 60, 52, 44, 36,
        63, 55, 47, 39, 31, 23, 15,
        7, 62, 54, 46, 38, 30, 22,
        14, 6, 61, 53, 45, 37, 29,
        21, 13, 5, 28, 20, 12, 4]

Analizzando tale permutazione, dal fatto che in prima posizione troviamo un 57, deduciamo che il 57esimo bit della chiave inziale, diventa il primo della chiave permutata, e così via. Il quarto bit della chiave iniziale, sarà l'ultimo in quella permutata.


**2)** si divide la stringa ottenuta in due parti da 28 bit l'una, ottenendo le stringhe $C_0$ e $D_0$;

**3)** per ogni $1 \le i \le n$, $C_i$ e $D_i$ sono ottenuti a partire dai precedenti $C_{i-1}$ e $D_{i-1}$ effettuando un numero di shift a sinistra di uno o due posti, che dipende da $i$ in base al seguente schema:

N. Iterazione| N. left shifts|

1 $\rightarrow$ 1

2 $\rightarrow$ 1

3 $\rightarrow$ 2

4 $\rightarrow$ 2

5 $\rightarrow$ 2

6 $\rightarrow$ 2

7 $\rightarrow$ 2

8 $\rightarrow$ 2

9 $\rightarrow$ 1

10 $\rightarrow$ 2

11 $\rightarrow$ 2

12 $\rightarrow$ 2

13 $\rightarrow$ 2

14 $\rightarrow$ 2

15 $\rightarrow$ 2

16 $\rightarrow$ 1

Questo significa, ad esempio, che $C_3$ e $D_3$ sono ottenuti da $C_2$ e $D_2$ rispettivamente con due shift, mentre $C_9$ e $D_9$ sono ottenuti da $C_8$ e $D_8$ con un singolo shift.

**4)** Infine si applica una permutazione $PC_2$ alla stringa $C_nD_n$ per ottenere la chiave $K^n$

In [12]:
PC_2 = [14, 17, 11, 24, 1, 5, 3, 28,        
        15, 6, 21, 10, 23, 19, 12, 4,
        26, 8, 16, 7, 27, 20, 13, 2,
        41, 52, 31, 37, 47, 55, 30, 40,
        51, 45, 33, 48, 44, 49, 39, 56,
        34, 53, 46, 42, 50, 36, 29, 32]

Proviamo a implementare il DES su un esempio.

Cifriamo il plaintext $x$='Schedule'

Poichè il DES ha bisogno di una stringa di 64 bit in input, trasformiamo il plaintext in esadecimali e poi in codice binario:

In [13]:
text='Schedule'

text=text.encode().hex() #passo in esadecimali

print('Il testo in esadecimali è:', text)

Il testo in esadecimali è: 5363686564756c65


In [14]:
def HexToBin(text):
    
    text=text.upper()
    
    Hex={'0000': '0', '0001': '1', '0010': '2', '0011': '3', '0100': '4','0101':'5','0110':'6', '0111': '7', '1000': '8', '1001': '9', '1010': 'A', '1011': 'B', '1100': 'C', '1101': 'D', '1110': 'E', '1111': 'F'}
    
    Hex2={'0': '0000', '1': '0001', '2': '0010', '3': '0011', '4': '0100','5':'0101','6':'0110', '7': '0111', '8': '1000', '9': '1001', 'A': '1010', 'B': '1011', 'C': '1100', 'D': '1101', 'E': '1110', 'F': '1111'}
    
    x=''
    
    for i in text:
        x=x+Hex2[i]
    
    return x
    

In [15]:
x=HexToBin(text)

print('il testo in binario è:',x)

print('la lunghezza del testo è',len(x), 'bit')

il testo in binario è: 0101001101100011011010000110010101100100011101010110110001100101
la lunghezza del testo è 64 bit


Implementiamo ora la funzione key schedule. Utilizzeremo come chiave la parola "violetto", che trasformeremo in una stringa binaria come già visto

In [16]:
K='violetto'
K=K.encode().hex()
K=HexToBin(K)

def Key_schedule(K):
    
    PC_1 = [57, 49, 41, 33, 25, 17, 9,          
        1, 58, 50, 42, 34, 26, 18,
        10, 2, 59, 51, 43, 35, 27,          
        19, 11, 3, 60, 52, 44, 36,
        63, 55, 47, 39, 31, 23, 15,
        7, 62, 54, 46, 38, 30, 22,
        14, 6, 61, 53, 45, 37, 29,
        21, 13, 5, 28, 20, 12, 4]
    PC_2 = [14, 17, 11, 24, 1, 5, 3, 28,         
        15, 6, 21, 10, 23, 19, 12, 4,
        26, 8, 16, 7, 27, 20, 13, 2,
        41, 52, 31, 37, 47, 55, 30, 40,
        51, 45, 33, 48, 44, 49, 39, 56,
        34, 53, 46, 42, 50, 36, 29, 32]

    shift=[1,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1]
    
    Key_list=[]
    
    #Applichiamo la prima permutazione
    
    Key_perm=''
    for i in PC_1:
        Key_perm=Key_perm+K[i-1]
        
    C=Key_perm[0:28]
    D=Key_perm[28:56]
    
    #Creiamo le chiavi con lo shift e la seconda permutazione
    
    for j in range(16):
        if shift[j]==1: 
            C=C+C
            C=C[1:29]
            D=D+D
            D=D[1:29]
        else:
            C=C+C
            C=C[2:30]
            D=D+D
            D=D[2:30]
        
        Key_perm=C+D
        Kn=''
        for h in PC_2:
            Kn=Kn+Key_perm[h-1]
            
        Key_list=Key_list+[Kn]  
        
        
    return Key_list 


Key_list=Key_schedule(K)

print('La lista di chiavi è la seguente:')
print(Key_list)
print('la lunghezza di una chiave è:',len(Key_list[0]))
            

La lista di chiavi è la seguente:
['111000001011111011100110100101010011111100001100', '111100001011011001110110000111010001011010010101', '111001001101111001110110110110110110000011100101', '111001101111001101110110001000101110101110001101', '101011101101011101110011101100100011010110010111', '111011110101001101111011111011110000001110100011', '101011111101001111011001010101100110101101001011', '000111110101101111011011011101101001000101011100', '001111110100101111011001110011101000010011011110', '000111110111100110011101010011011111011111001001', '000111110010110111011101001110101101010001101001', '010111110110110010101101110010101101110100100110', '110110111010110110101100100011000110111110111000', '110110001010111010101111111110010101101001010001', '111100011011111000101110110100111100001000111010', '111100001011111010101110100100011100111110011110']
la lunghezza di una chiave è: 48


Alleggeriamo il codice della DES implementando a parte la funzione di espansione $E$ ed $f$

In [17]:
def sommaxor(a,b):
    
    c=''
    for i in range(len(a)):
        if a[i]==b[i]:
            c=c+'0'
        else:
            c=c+'1'

    return c

In [18]:
def espansione(text):
    SBOX = [
         
    [[14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 12, 5, 9, 0, 7],
    [0, 15, 7, 4, 14, 2, 13, 1, 10, 6, 12, 11, 9, 5, 3, 8],
    [4, 1, 14, 8, 13, 6, 2, 11, 15, 12, 9, 7, 3, 10, 5, 0],
    [15, 12, 8, 2, 4, 9, 1, 7, 5, 11, 3, 14, 10, 0, 6, 13],
    ],

    [[15, 1, 8, 14, 6, 11, 3, 4, 9, 7, 2, 13, 12, 0, 5, 10],
    [3, 13, 4, 7, 15, 2, 8, 14, 12, 0, 1, 10, 6, 9, 11, 5],
    [0, 14, 7, 11, 10, 4, 13, 1, 5, 8, 12, 6, 9, 3, 2, 15],
    [13, 8, 10, 1, 3, 15, 4, 2, 11, 6, 7, 12, 0, 5, 14, 9],
    ],

    [[10, 0, 9, 14, 6, 3, 15, 5, 1, 13, 12, 7, 11, 4, 2, 8],
    [13, 7, 0, 9, 3, 4, 6, 10, 2, 8, 5, 14, 12, 11, 15, 1],
    [13, 6, 4, 9, 8, 15, 3, 0, 11, 1, 2, 12, 5, 10, 14, 7],
    [1, 10, 13, 0, 6, 9, 8, 7, 4, 15, 14, 3, 11, 5, 2, 12],
    ],

    [[7, 13, 14, 3, 0, 6, 9, 10, 1, 2, 8, 5, 11, 12, 4, 15],
    [13, 8, 11, 5, 6, 15, 0, 3, 4, 7, 2, 12, 1, 10, 14, 9],
    [10, 6, 9, 0, 12, 11, 7, 13, 15, 1, 3, 14, 5, 2, 8, 4],
    [3, 15, 0, 6, 10, 1, 13, 8, 9, 4, 5, 11, 12, 7, 2, 14],
    ],  

    [[2, 12, 4, 1, 7, 10, 11, 6, 8, 5, 3, 15, 13, 0, 14, 9],
    [14, 11, 2, 12, 4, 7, 13, 1, 5, 0, 15, 10, 3, 9, 8, 6],
    [4, 2, 1, 11, 10, 13, 7, 8, 15, 9, 12, 5, 6, 3, 0, 14],
    [11, 8, 12, 7, 1, 14, 2, 13, 6, 15, 0, 9, 10, 4, 5, 3],
    ], 

    [[12, 1, 10, 15, 9, 2, 6, 8, 0, 13, 3, 4, 14, 7, 5, 11],
    [10, 15, 4, 2, 7, 12, 9, 5, 6, 1, 13, 14, 0, 11, 3, 8],
    [9, 14, 15, 5, 2, 8, 12, 3, 7, 0, 4, 10, 1, 13, 11, 6],
    [4, 3, 2, 12, 9, 5, 15, 10, 11, 14, 1, 7, 6, 0, 8, 13],
    ], 

    [[4, 11, 2, 14, 15, 0, 8, 13, 3, 12, 9, 7, 5, 10, 6, 1],
    [13, 0, 11, 7, 4, 9, 1, 10, 14, 3, 5, 12, 2, 15, 8, 6],
    [1, 4, 11, 13, 12, 3, 7, 14, 10, 15, 6, 8, 0, 5, 9, 2],
    [6, 11, 13, 8, 1, 4, 10, 7, 9, 5, 0, 15, 14, 2, 3, 12],
    ],
   
    [[13, 2, 8, 4, 6, 15, 11, 1, 10, 9, 3, 14, 5, 0, 12, 7],
    [1, 15, 13, 8, 10, 3, 7, 4, 12, 5, 6, 11, 0, 14, 9, 2],
    [7, 11, 4, 1, 9, 12, 14, 2, 0, 6, 10, 13, 15, 3, 5, 8],
    [2, 1, 14, 7, 4, 10, 8, 13, 15, 12, 9, 0, 3, 5, 6, 11],
    ]
    ]

   
    E=[32,1,2,3,4,5,4,5,6,7,8,9,8,9,10,11,12,13,12,13,14,15,16,17,16,17,18,19,20,21,20,21,22,23,24,25,24,25,26,27,28,29,28,29,30,31,32,1]
    
    text2=''
    for i in E:
        text2=text2+text[i-1]
    return text2

def IntToBin(n):
    Bin=''
    while n>0:
        if n%2 == 0:
            Bin='0'+Bin
        else:
            Bin='1'+Bin
        n=int(n/2)
    while len(Bin) < 4:
        Bin='0'+ Bin
    return Bin


def f(A,J):
    
    P=[16,7,20,21,29,12,28,17,1,15,23,26,5,18,31,10,2,8,24,14,32,27,3,9,19,13,30,6,22,11,4,25]
    
    #espandiamo A
    A=espansione(A)
    
    #effettuiamo la somma xor di A con J
    B=sommaxor(A,J)
    
    #applichiamo gli S-Box
    C=''
    for j in range(8):
        Bj=B[6*j:6*j+6]
        r=int(Bj[0]+Bj[5],2)
        c=int(Bj[1]+Bj[2]+Bj[3]+Bj[4],2)
        C=C+IntToBin(SBOX[j][r][c])
    
    #applichiamo la permutazione P a C 
    C1=''
    for i in P:
        C1=C1+C[i-1]
    return C1     

Possiamo ora implementare il DES

In [19]:
#Processo di codifica
def DES(text,Key_list):
    
#text è una stringa di 64 bit    
    IP = [58, 50, 42, 34, 26, 18, 10, 2,
      60, 52, 44, 36, 28, 20, 12, 4,
      62, 54, 46, 38, 30, 22, 14, 6,
      64, 56, 48, 40, 32, 24, 16, 8,
      57, 49, 41, 33, 25, 17, 9, 1,
      59, 51, 43, 35, 27, 19, 11, 3,
      61, 53, 45, 37, 29, 21, 13, 5,
      63, 55, 47, 39, 31, 23, 15, 7]
    IP_inv= [40, 8, 48, 16, 56, 24, 64, 32,
        39, 7, 47, 15, 55, 23, 63, 31,
        38, 6, 46, 14, 54, 22, 62, 30,
        37, 5, 45, 13, 53, 21, 61, 29,
        36, 4, 44, 12, 52, 20, 60, 28,
        35, 3, 43, 11, 51, 19, 59, 27,
        34, 2, 42, 10, 50, 18, 58, 26,
        33, 1, 41, 9, 49, 17, 57, 25]
    
    #permutazione di text tramite IP
    
    x=''
    for i in IP:
        x=x+text[i-1]
        
    L=x[:32]
    R=x[32:]
    for i in range(16):
        hold=L
        L=R
        C=f(R,Key_list[i])
        #somma xor
        R=sommaxor(C,hold)        
    x=R+L
    
    #applichiamo IP_inv
    
    y=''
    for i in IP_inv:
        y=y+x[i-1]
    
    return y

In [20]:
#il text è Schedule in codice binario precedentemente calcolato
text='0101001101100011011010000110010101100100011101010110110001100101'
y=DES(text,Key_list)
#Mostro il codice codificato
print('y è uguale a:',y)
print('la lunghezza del ciphertext è:',len(y))

y è uguale a: 1101111000010111010000100001111110000101111010100100100010101000
la lunghezza del ciphertext è: 64


Per decifrare è necessario applicare lo stesso algoritmo

In [21]:
#definizio la funzione di decodifica
def DES_dec(text,Key_list):
    
    IP = [58, 50, 42, 34, 26, 18, 10, 2,
      60, 52, 44, 36, 28, 20, 12, 4,
      62, 54, 46, 38, 30, 22, 14, 6,
      64, 56, 48, 40, 32, 24, 16, 8,
      57, 49, 41, 33, 25, 17, 9, 1,
      59, 51, 43, 35, 27, 19, 11, 3,
      61, 53, 45, 37, 29, 21, 13, 5,
      63, 55, 47, 39, 31, 23, 15, 7]
    IP_inv= [40, 8, 48, 16, 56, 24, 64, 32,
        39, 7, 47, 15, 55, 23, 63, 31,
        38, 6, 46, 14, 54, 22, 62, 30,
        37, 5, 45, 13, 53, 21, 61, 29,
        36, 4, 44, 12, 52, 20, 60, 28,
        35, 3, 43, 11, 51, 19, 59, 27,
        34, 2, 42, 10, 50, 18, 58, 26,
        33, 1, 41, 9, 49, 17, 57, 25]
    
#permutazione di text tramite IP
    x=''
    for i in IP:
        x=x+text[i-1]
        
#divido x in due parti (in maniera inversa a come fatto precentemente, cioè scambiando R ed L) 

    R=x[:32]
    L=x[32:]
    for i in reversed(range(16)):
        hold=R
        R=L
        C=f(L,Key_list[i])
        #somma xor
        L=sommaxor(C,hold)
       
    x=L+R
    
#applicchiamo IP_inv
    y=''
    for i in IP_inv:
        y=y+x[i-1]
    
    return y

In [22]:
text='0100000110111111110100000010111010011100110010000010010111100101'    #Testo codificato
x=DES_dec(text,Key_list)
print('Il testo in chiaro è:',x)

Il testo in chiaro è: 0101111101101100010011111110101001111010000011000011101000000000


Riconvertiamo x in esadecimali e in testo in chiaro:

In [23]:
# Funzione: converto il binario in hex
def binToMyHex (text):
    # Trasformo binario in int
    decimal = int(str(text), 2)
    # Trasformo il decimale in esadecimale
    myHex = format(decimal, 'X')
    return myHex

In [24]:
#Richiamo la funzione per trasformare da binario a esadecimale
FinalHex = binToMyHex (x)
print(FinalHex)
#Stampo il testo decodificato
print(bytes.fromhex(FinalHex).decode('utf-8'))

5F6C4FEA7A0C3A00


UnicodeDecodeError: 'utf-8' codec can't decode byte 0xea in position 3: invalid continuation byte

## Modes of Operation 
### (parte 1)

Sono statai sviluppati degli algoritmi, detti $\textit{Modes of operations}$ per il DES, che permettono di estendere la cifratura da un singolo blocco a tanti blocchi, ossia generalizzazioni dell'algoritmo a testi di lunghezza maggiore dell'output standard. Questi metodi sono : 

**1)** ECB= Electronic Codebook 

**2)** CBC=Cipher Block Chaining

**3)** OFB=Output Feedback

**4)** CFB=Cipher Feedback 

e sono applicabili ad ogni cifrario. 

### Cipher Block Chaining

Nel CBC, prima di cifrare con una chiave $K$ un blocco di plaintext $x_i$, lo si somma al precedente blocco di ciphertext $y_{i-1}$.

In particolare: 

-si inizializza un vettore IV (initial vector),

-si definisce $y_0=IV$,

-si costruiscono $y_0,y_1\dots$ secondo la regola 

$$y_i=e_K(y_{i-1}\oplus x_i)$$

In [25]:
text='Il conoscimento e il possesso di se medesimo suol venire o da bisogni e infortuni, o da qualche passione grande, cioè forte; e per lo più dall amore'
text=(text.encode('utf-8')).hex() #testo in esadecimali
print('il testo in esadecimali è:',text)
IV='Pensieri' #vettore di inizializzazione
IV=(IV.encode('utf-8')).hex()
print('Il vettore di inizializzazione in esadecimali è:' ,IV)

il testo in esadecimali è: 496c20636f6e6f7363696d656e746f206520696c20706f73736573736f206469207365206d65646573696d6f2073756f6c2076656e697265206f206461206269736f676e69206520696e666f7274756e692c206f206461207175616c6368652070617373696f6e65206772616e64652c2063696fc3a820666f7274653b206520706572206c6f207069c3b92064616c6c20616d6f7265
Il vettore di inizializzazione in esadecimali è: 50656e7369657269


In [26]:
K='codifica'
K=K.encode().hex()
K=HexToBin(K) #passo in binario
Key_list=Key_schedule(K)
print(Key_list) #trovo le chiavi con la Key Schedule definita nel DES

['111000001011111001100110101000000001001010111010', '111000001011011001110110100010110110010110000000', '111001001101011001110110001010000100001100000101', '111001101101001101110010110100100100000010000110', '101011101101001101110011110001000000001110001001', '101011110101001101011011100100100011001001001001', '001011110101001111011001011100101001001100100000', '000111110101100111011001000100000010110100101010', '000111110100100111011001000001000101010111000101', '000111110110100110011101100010101000000011100001', '000111110010110110001101110000101100111100000001', '010110110010110010101101000110100000011100011000', '110110011010110010101100110110010101000100000000', '110100001010111010101110010000000110001000101000', '111100001011111000100110111100000011100000001100', '111100001011111000100110000010111000010000010101']


In [27]:
def DES_CBC(text,Key_list,IV):
    
    #text è in esadecimali
    
    output=''
    
    while len(text)%16 != 0:
        text=text+'0'
        
    y=HexToBin(IV) 
    
    text=HexToBin(text)
    
    
    for i in range(len(text)/64):
        
        
        x=sommaxor(text[64*i:64*i+64],y)
        
        y=DES(x,Key_list)
        
        
        output=output+y
     
    return output
        

In [28]:
y=DES_CBC(text,Key_list,IV)

print('Il testo cifrato in esadecimali è:\n', binToMyHex(y))

Il testo cifrato in esadecimali è:
 4A029CD7FD009665CA2303B7A784DFA93BE82B2032ABCC671619C2A0CB11C7D7A6C2AB1CE3F0B3E833F0F2990C15AE74238264C1C97920EF86D1DD70ABF562EA77CB30C00CF50DE4276A361224EBAB74A3C76289101A6F5D556E7C3C205A7477F37343AA22FA101C0CB4AB7E1B3F054631EBD9BEAB4A01A495F82DE83A2F63476A9827049B2832AA3DF73D83A2D8331DB63410F267D7B73F


In [29]:
def DES_CBC_dec(text,Key_list,IV):   #definisco la funzione di decodifica con lo stesso procedimento
    
    output=''
    
    y0=HexToBin(IV)
    
    for i in range(len(text)//64):
        
        y=text[64*i:64*i+64]
        
        x=DES_dec(y,Key_list)
        
        x=sommaxor(y0,x)
        
        y0=y
        
        output=output+x
     
    return output

In [30]:
text=DES_CBC_dec(y,Key_list,IV)

print('il plaintext in esadecimali è:\n',binToMyHex(text))
print('il plaintext originale è:\n',bytearray.fromhex(binToMyHex(text)).decode())

il plaintext in esadecimali è:
 496C20636F6E6F7363696D656E746F206520696C20706F73736573736F206469207365206D65646573696D6F2073756F6C2076656E697265206F206461206269736F676E69206520696E666F7274756E692C206F206461207175616C6368652070617373696F6E65206772616E64652C2063696FC3A820666F7274653B206520706572206C6F207069C3B92064616C6C20616D6F72650000
il plaintext originale è:
 Il conoscimento e il possesso di se medesimo suol venire o da bisogni e infortuni, o da qualche passione grande, cioè forte; e per lo più dall amore  


### Advanced Encryption Standard

L'input dell' AES è un blocco di lunghezza 128 bit, e sono ammesse tre lunghezze di chiavi possibili: 128, 192 e 256 bits.

AES è un cifrario iterato, il numero di iterazioni $Nr$ è proporzionale alla lunghezza delle chiavi e può essere pari a 10, 12 o 14 round.

L'algoritmo è il seguente:

**1)** dato un plaintext  $x$, si inizializza $\textbf{State}=x$ e si effettua $\textbf{State}+\textbf{Roundkey} \pmod{2}$

**2)** Per i primi $Nr-1$ rounds, si applica una sostituzione tramite S-box su $\textbf{State}$ chiamata SUBBYTES, si effettua una permutazione SHIFTROWS, e si effettua una operazione MIXCOLUMNS e una ADDROUNDKEY

**3)** Si effettuano SUBBYTES, SHIFTROWS e ADDROUNDKEY

**4)** Infine definiamo il cyphertext $y=\textbf{State}$

Dalla descrizione generale dell'AES si può notare che la sua struttura è molto simile a quella della SPN. In ogni round di entrambi i crittosistemi abbiamo un mix delle chiavi di round, un passo di sostituzione e uno di permutazione. La differenza sta nel fatto che AES è più "grande" e include un'operazione lineare aggiuntiva (MixColumns) in ogni round.

Diamo ora una descrizione più dettagliata dei vari passaggi.

Descriviamo prima di tutto la struttura di State.

Il plaintext $x$ consiste in 16 bytes, denotati $ x_0, \dots x_{15}$

$\textbf{State}$ è rappresentato da un array $ 4 \times 4$: 

| $s_{0,0}$ | $s_{0,1}$ | $s_{0,2}$ | $s_{0,3}$ |

| $s_{1,0}$ | $s_{1,1}$ | $s_{1,2}$ | $s_{1,3}$ |

| $s_{2,0}$ | $s_{2,1}$ | $s_{2,2}$ | $s_{2,3}$ |

| $s_{3,0}$ | $s_{3,1}$ | $s_{3,2}$ | $s_{3,3}$ |

L'input iniziale avrà questa forma:

| $x_0$ | $x_4$ | $x_8$ | $x_{12}$ |

| $x_1$ | $x_5$ | $x_9$ | $x_{13}$ |

| $x_2$ | $x_6$ | $x_{10}$ | $x_{14}$ |

| $x_3$ | $x_7$ | $x_{11}$ | $x_{15}$ |

Spesso utilizziamo la notazione esadecimale per rappresentare il contenuto di un byte.

In [31]:
def create_state(x):
    
    #trasformiamo x in un array 4x4, otteniamo x sotto forma di lista 
    
    copy=x
    
    State=[[0,0,0,0],
           [0,0,0,0],
          [0,0,0,0],
          [0,0,0,0]]
    for i in range(4):
        for j in range(4):
            State[j][i]=copy[0]
            copy.remove(copy[0])
    return State        

In [32]:
x=[0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15]
create_state(x)

[[0, 4, 8, 12], [1, 5, 9, 13], [2, 6, 10, 14], [3, 7, 11, 15]]

## AddRoundKey

Nella funzione AddRoundKey la variabile State vienne sommata alla RoundKey tramite una operazione XOR.

Ogni RoundKey consiste in $Nb$ parole che vengono sommate in modo tale che 

$$[s_{0,c}',s_{1,c}',s_{2,c}',s_{3,c}']=[s_{0,c},s_{1,c},s_{2,c},s_{3,c}] \oplus [w_{round*Nb+c}]$$

In [33]:
def AddRoundKey(State,w):
    
    for i in range(4):
        for j in range(4):
            State[j][i]=sommaxor(State[j][i],w[i][j])
    
    return State
    

## SubBytes
SubBytes effettua una sostituzione di ogni byte di State, usando una $S$-box, denominata $\pi_S$, che è una permutazione di $\{0,1\}^8$. Per rappresentare $\pi_S$ rappresentiamo i bytes in notazione esadecimale. $\pi_S$ è raffigurata come un array 16x16, in cui le righe e le colonne sono indicizzate da unità esadecimali. 

A differenza degli $S$-box della DES, questa permutazione può essere definita algebricamente; la formulazione algebrica coinvolge delle operazioni su un campo finito:

$$\mathbb{F}_{2^8}=\mathbb{Z}_2[x]/(t^8+t^4+t^3+t+1)$$



In [34]:
R.<t> = PolynomialRing(GF(2^8), 't')
f = t^8 + t^4 + t^3 + t +1



Definiamo le funzioni FieldToBinary e BinaryToField che permettono di trasformare un elemento del campo $\mathbb{F}_{2^8}$ in un elemento binario e viceversa. In particolare, l'elemento $$\sum_{i=0}^7 a_ix^i$$ corrisponde al byte $$a_0a_1a_2a_3a_4a_5a_6a_7a_8$$

In [35]:
def FieldToBinary(g):
    bin=''
    for i in range(8):
        bin=str(g[i])+bin
    return bin  

def BinaryToField(bin):
    g=0
    for i in range(8):
        g=int(bin[i])*t**(7-i)+g
    return g    

In [36]:
#esempio
g=t^3+t
bin='00001010'
print(FieldToBinary(g))
print(BinaryToField(bin))

00001010
t^3 + t


Definiamo FieldInv la funzione che calcola l'inverso moltiplicativo di un elemento del campo

In [37]:
#implementiamo l'algoritmo di Euclide esteso che calcola l'MCD tra due polinomi e la coppia dei coefficienti di Bezout

def euclide(f, g):

    x0, x1, y0, y1 = 1, 0, 0, 1
    while g != 0:
        q, f, g = f // g, g, f % g
        x0, x1 = x1, x0 - q * x1
        y0, y1 = y1, y0 - q * y1
    return [f,[ x0, y0]]

In [38]:
#implementiamo la funzione che calcola l'inverso di un polinomio mod f

def FieldInv(z,f):
    
    if z==0:
        return 0*t
    w = euclide(z, f)
    if w[0] == 1:      #controllo sia uguale a 1
        z_inv = w[1][0]
        return z_inv 
    else:
        print('Impossibile calcolare l \' inverso')
    return None

La funzione SubBytes opera nel seguente modo:

* input $z \leftarrow a_7a_6a_5a_4a_3a_2a_1a_0$

* si converte z in un elemento del campo tramite BinToField  $z \leftarrow$ BinToField($z$)

* si calcola l'inverso $z \leftarrow$ FieldInv($z$)

* si riconverte z in un binario tramite FieldToBinary $a_7a_6a_5a_4a_3a_2a_1a_0 \leftarrow$ FieldToBin($z$)

*  $c_7c_6c_5c_4c_3c_2c_1c_0 \leftarrow 01100011$

* $b_i \leftarrow (a_i+a_{i+4}+a_{i+5}+a_{i+6}+a_{i+7}+c_i) \pmod{2}$ $i=0\dots 7$

In [39]:
def SubBytes(z):
    #z deve essere un numero binario di 8 caratteri
    
    z=BinaryToField(z)
    
    z=FieldInv(z,f)
    
    
    z=FieldToBinary(z)
    
    z=z[::-1]
    
    c='11000110'
    b=''
    z=z*2
    for i in range(8):
         b=str((int(z[i])+int(z[i+4])+int(z[i+5])+int(z[i+6])+int(z[i+7])+int(c[i]))%2)+b
        
    return b
    

In [40]:
#esempio

x='63'
x=HexToBin(x)
print('il testo in binario è',x)
print('equivalente al polinomio',BinaryToField(x))
print('il suo inverso è', FieldInv(BinaryToField(x),f))
x=SubBytes(x)
print('dopo SubBytes x è uguale a',x)
print('in esadecimali corisponde a',binToMyHex(x))

il testo in binario è 01100011
equivalente al polinomio t^6 + t^5 + t + 1
il suo inverso è t^7 + t^6 + t^4 + t + 1
dopo SubBytes x è uguale a 11111011
in esadecimali corisponde a FB


Dobbiamo applicare l'operazione di ShiftRows su State: 

| $s_{0,0}$ | $s_{0,1}$ | $s_{0,2}$ | $s_{0,3}$ |

| $s_{1,1}$ | $s_{1,2}$ | $s_{1,3}$ | $s_{1,0}$ |

| $s_{2,2}$ | $s_{2,3}$ | $s_{2,0}$ | $s_{2,1}$ |

| $s_{3,3}$ | $s_{3,0}$ | $s_{3,1}$ | $s_{3,2}$ |

In [41]:
def ShiftRows(State):
    
    State[1]=(State[1]*2)[1:5]
    State[2]=(State[2]*2)[2:6]
    State[3]=(State[3]*2)[3:7]
    
    return State

In [42]:
x=[0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15]
x=create_state(x)
print('State prima di shiftows:',x)
x=ShiftRows(x)
print('State dopo ShiftRows:',x)

State prima di shiftows: [[0, 4, 8, 12], [1, 5, 9, 13], [2, 6, 10, 14], [3, 7, 11, 15]]
State dopo ShiftRows: [[0, 4, 8, 12], [5, 9, 13, 1], [10, 14, 2, 6], [15, 3, 7, 11]]


L'operazione MixColumns viene effettuata su ogni colonna di State secondo il seguente algoritmo:

* $t_i \leftarrow$ BinaryToField($s_{i,c}$) per $i=1 \dots 3$

* $u_0=\leftarrow$ FieldMult($x,t_0$) $\oplus$ FieldMult($x+1,t_1$) $\oplus t_2 \oplus t_3$

* $u_1=\leftarrow$ FieldMult($x,t_1$) $\oplus$ FieldMult($x+1,t_2$) $\oplus t_3 \oplus t_0$

* $u_2=\leftarrow$ FieldMult($x,t_2$) $\oplus$ FieldMult($x+1,t_3$) $\oplus t_0 \oplus t_1$

* $u_3=\leftarrow$ FieldMult($x,t_3$) $\oplus$ FieldMult($x+1,t_0$) $\oplus t_1 \oplus t_2$

* $s_{i,c}\leftarrow$ FieldToBinary($u_i$)

Dove FieldMult rappresenta la moltiplicazione nel campo $\mathbb{F}_{2^8}$

In [43]:
def MixColumns(State):
    
    for c in range(4):
        s=[0,0,0,0]
        for i in range(4):
            s[i]=BinaryToField(State[i][c])
        u=[0,0,0,0]
        for i in range(4):
            u[i]=(t*s[i%4]+(t+1)*s[(i+1)%4]+s[(i+2)%4]+s[(i+3)%4])%f
            State[i][c]=FieldToBinary(u[i])
    return State


## Creazione del key schedule

L'algoritmo AES prende in input una chiave $K$ e genera un totale di $Nb(Nr+1)$ parole. L'algoritmo richiede $Nb$ parole iniziali e ciascuno degli $Nr$ round richiede a sua volta $Nb$ parole. Il risultato è un array di parole da 4 bytes, denotate $[w_i]$.

Per il key schedule avremo bisogno di due funzioni ausiliare, SubWord e RotWord.

- SubWord prende in input una parola da 4 bytes e applica a ciascun byte l'$S$-Box dell'AES

- RotWord prende in input una parola $[a_0,a_1,a_2,a_3]$ e applica una permutazione ciclica ottenenendo $[a_1,a_2,a_3,a_0]$ 

In [44]:
def RotWord(w):
    w=(w*2)[1:5]
    return w

def SubWord(w):
    
    for i in range(len(w)):
        w[i]=SubBytes(w[i])
    
    return w[0]+w[1]+w[2]+w[3]

def KeyExpansion(K):
    
    Rcon=['01000000','02000000','04000000','08000000','10000000','20000000','40000000','80000000','1B000000','36000000']
    
    w=[]
    for i in range(4):
        w=w+[[K[4*i],K[4*i+1],K[4*i+2],K[4*i+3]]]  
        
    #trasformiamo w in binari
    for i in range(len(w)):
        for j in range(4):
            w[i][j]=HexToBin(w[i][j])

    #trasformiamo Rcon in binario
    #for i in range(len(Rcon)):
        #Rcon[i]=HexToBin(Rcon[i])
    
    for i in range(4,44):
        temp=w[i-1]
        if i % 4 == 0:
            #temp=xor(BinToHex(SubWord(RotWord(temp))),Rcon[int(i/4)-1])
            temp=sommaxor(SubWord(RotWord(temp)),HexToBin(Rcon[int(i/4)-1]))
            #temp=HexToBin(temp)
            #print(BinToHex(temp))
            temp=[temp[0:8],temp[8:16],temp[16:24],temp[24:32]]   
        a=sommaxor((w[i-4][0]+w[i-4][1]+w[i-4][2]+w[i-4][3]),(temp[0]+temp[1]+temp[2]+temp[3]))
        #print(BinToHex(a))
        b=[0,0,0,0]
        for j in range(4):
            b[j]=a[8*j:8*j+8]   
        w.append(b)    
    return   w
        
          
        

In [45]:
#test della funzione

K=['2b' ,'7e', '15', '16' ,'28', 'ae', 'd2', 'a6' ,'ab', 'f7' ,'15', '88', '09', 'cf', '4f', '3c']
w=KeyExpansion(K)
print('l\'insieme delle parole è il seguente',w)

l'insieme delle parole è il seguente [['00101011', '01111110', '00010101', '00010110'], ['00101000', '10101110', '11010010', '10100110'], ['10101011', '11110111', '00010101', '10001000'], ['00001001', '11001111', '01001111', '00111100'], ['10100000', '11111010', '11111110', '00010111'], ['10001000', '01010100', '00101100', '10110001'], ['00100011', '10100011', '00111001', '00111001'], ['00101010', '01101100', '01110110', '00000101'], ['11110010', '11000010', '10010101', '11110010'], ['01111010', '10010110', '10111001', '01000011'], ['01011001', '00110101', '10000000', '01111010'], ['01110011', '01011001', '11110110', '01111111'], ['00111101', '10000000', '01000111', '01111101'], ['01000111', '00010110', '11111110', '00111110'], ['00011110', '00100011', '01111110', '01000100'], ['01101101', '01111010', '10001000', '00111011'], ['11101111', '01000100', '10100101', '01000001'], ['10101000', '01010010', '01011011', '01111111'], ['10110110', '01110001', '00100101', '00111011'], ['11011011',

In [46]:
def AES(x,w):
    
    State=create_state(x)
    
    
    State=AddRoundKey(State,w[0:4])
    
    
    for i in range(9):
        
        for k in range(4):
            for h in range(4):
                State[h][k]=SubBytes(State[h][k])
        
        
        State=ShiftRows(State)
        
        
            
        State=MixColumns(State)
        
        
    
        State=AddRoundKey(State,w[4*(i+1):4*(i+1)+4])
        
        #print(BinToHex(State[0][0]+State[0][1]+State[0][2]+State[0][3]))
        #print(BinToHex(State[1][0]+State[1][1]+State[1][2]+State[1][3]))
        #print(BinToHex(State[2][0]+State[2][1]+State[2][2]+State[2][3]))
        #print(BinToHex(State[3][0]+State[3][1]+State[3][2]+State[3][3]))
        
        
    
    for k in range(4):
            for h in range(4):
                State[h][k]=SubBytes(State[h][k])
    
    State=ShiftRows(State)
                           
    State=AddRoundKey(State, w[-4:])
    
    string=[]
    for h in range(4):
        for k in range(4):
            string=string+[State[k][h]]
    State=string
    
    return State

In [47]:
#esempio

x=['32', '43', 'f6', 'a8', '88', '5a', '30', '8d', '31', '31', '98', 'a2', 'e0', '37', '07', '34']
for i in range(len(x)):
    x[i]=HexToBin(x[i])
AES(x,w)

['00111001',
 '00100101',
 '10000100',
 '00011101',
 '00000010',
 '11011100',
 '00001001',
 '11111011',
 '11011100',
 '00010001',
 '10000101',
 '10010111',
 '00011001',
 '01101010',
 '00001011',
 '00110010']

## Cifrario inverso

Per decifrare l'AES è necessario eseguire le stesse operazioni in ordine inverso, utilizzando la stessa key schedule, sostituendo le funzione presenti all'interno dell'algoritmo con le loro inverse. Vediamole più nel dettaglio:

### InvShiftorws

E' l'operazione inversa di ShifRows. La prima riga di State rimane invariata, mentre le altre 3 vegono shiftate rispettivamente di 1, 2 e 3 posti verso destra

In [48]:
def InvShiftRows(State):
    
    State[1]=(State[1]*2)[3:7]
    State[2]=(State[2]*2)[2:6]
    State[3]=(State[3]*2)[1:5]
    
    return State

In [49]:
x=[0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15]
x=create_state(x)
print(x==InvShiftRows(ShiftRows(x)))

True


### InvSubBytes

E' la trasformazione inversa di SubBytes e può essere applicata sia applicando l' $S$-Box inverso della SubBytes oppure applicando la trasformazione affine inversa.

In [50]:
def BinToHex(text):
    
    text=text.upper()
    
    esa={'0000': '0', '0001': '1', '0010': '2', '0011': '3', '0100': '4','0101':'5','0110':'6', '0111': '7', '1000': '8', '1001': '9', '1010': 'A', '1011': 'B', '1100': 'C', '1101': 'D', '1110': 'E', '1111': 'F'}
    
    esa2={'0': '0000', '1': '0001', '2': '0010', '3': '0011', '4': '0100','5':'0101','6':'0110', '7': '0111', '8': '1000', '9': '1001', 'A': '1010', 'B': '1011', 'C': '1100', 'D': '1101', 'E': '1110', 'F': '1111'}
    
    x=''
    
    for i in range(len(text)/4):
        bit=text[4*i:4*i+4]
        x=x+esa[bit]
    
    return x


In [51]:
def InvSubBytes(z):
    
    # z è un numero binario di 8 caratteri
    
    InvSbox =[['52','09', '6a', 'd5', '30', '36', 'a5', '38', 'bf', '40', 'a3', '9e', '81', 'f3', 'd7', 'fb'], 
    ['7c', 'e3', '39', '82', '9b', '2f', 'ff', '87', '34', '8e', '43', '44', 'c4', 'de', 'e9', 'cb'],
    ['54', '7b', '94', '32', 'a6', 'c2', '23', '3d', 'ee', '4c', '95', '0b', '42', 'fa', 'c3', '4e'], 
    ['08', '2e', 'a1', '66', '28', 'd9', '24', 'b2', '76', '5b', 'a2', '49', '6d', '8b', 'd1', '25'],
    ['72', 'f8', 'f6', '64', '86', '68', '98', '16', 'd4', 'a4', '5c', 'cc', '5d', '65', 'b6', '92'], 
    ['6c', '70', '48', '50', 'fd', 'ed', 'b9', 'da', '5e', '15', '46', '57', 'a7', '8d', '9d', '84'], 
    ['90', 'd8', 'ab', '00', '8c', 'bc', 'd3', '0a', 'f7', 'e4', '58', '05', 'b8', 'b3', '45', '06'],
    ['d0', '2c', '1e', '8f', 'ca', '3f', '0f', '02', 'c1', 'af', 'bd', '03', '01', '13', '8a', '6b'], 
    ['3a', '91', '11', '41', '4f', '67', 'dc', 'ea', '97', 'f2', 'cf', 'ce', 'f0', 'b4', 'e6', '73'], 
    ['96', 'ac', '74', '22', 'e7', 'ad', '35', '85', 'e2', 'f9', '37', 'e8', '1c', '75', 'df', '6e'], 
    ['47', 'f1', '1a', '71', '1d', '29', 'c5', '89', '6f', 'b7', '62', '0e', 'aa', '18', 'be', '1b'], 
    ['fc', '56', '3e', '4b', 'c6', 'd2', '79', '20', '9a', 'db', 'c0', 'fe', '78', 'cd', '5a', 'f4'],
    ['1f', 'dd', 'a8', '33', '88', '07', 'c7', '31', 'b1', '12', '10', '59', '27', '80', 'ec', '5f'],
    ['60', '51', '7f', 'a9', '19', 'b5', '4a', '0d', '2d', 'e5', '7a', '9f', '93', 'c9', '9c', 'ef'],
    ['a0', 'e0', '3b', '4d', 'ae', '2a', 'f5', 'b0', 'c8', 'eb', 'bb', '3c', '83', '53', '99', '61'],
    ['17', '2b', '04', '7e', 'ba', '77', 'd6', '26', 'e1', '69', '14', '63', '55', '21', '0c', '7d']]
    
    
    esa='0123456789abcdef'    
    
    z=BinToHex(z).lower()
    
    b=InvSbox[esa.index(z[0])][esa.index(z[1])]
    
    return HexToBin(b.upper())

In [52]:
z='11001001'
print(z==InvSubBytes(SubBytes(z)))

True


### InvMixColumns

E' la trasfromazione inversa di MixColumns, opera nel seguente modo:

In [53]:
def InvMixColumns(State):
    for c in range(4):
        s=[0,0,0,0]
        for i in range(4):
            s[i]=BinaryToField(State[i][c])
        u=[0,0,0,0]
        for i in range(4):
            u[i]=((t+t**2+t**3)*s[i%4]+(t**3+t+1)*s[(i+1)%4]+(t**3+t**2+1)*s[(i+2)%4]+(t**3+1)*s[(i+3)%4])%f
            State[i][c]=FieldToBinary(u[i])
    return State

In [54]:
State=[['00111001', '00000010', '11011100', '00011001'],
 ['00100101', '11011100', '00010001', '01101010'],
 ['10000100', '00001001', '10000101', '00001011'],
 ['00011101', '11111011', '10010111', '00110010']]
print(State==InvMixColumns(MixColumns(State)))

True


### InvAddRoundKey

L'inversa di AddroundKey è se stessa, trattandosi di una semplice somma xor.

In [55]:
def AES_dec(y,w):
    
    State=create_state(y)
    
    
    State=AddRoundKey(State,w[-4:])
    
    State=InvShiftRows(State)
    
    for k in range(4):
            for h in range(4):
                State[h][k]=InvSubBytes(State[h][k])
    
    
    for i in reversed(range(9)):
        
        State=AddRoundKey(State,w[4*(i+1):4*(i+1)+4])
        
        State=InvMixColumns(State)
        
        State=InvShiftRows(State)
        
        for k in range(4):
            for h in range(4):
                State[h][k]=InvSubBytes(State[h][k])
        
        
    
    
    State=AddRoundKey(State, w[:4])               
    
    return State

In [56]:
x=['32', '43', 'f6', 'a8', '88', '5a', '30', '8d', '31', '31', '98', 'a2', 'e0', '37', '07', '34']
for i in range(len(x)):
    x[i]=HexToBin(x[i])
y=AES(x,w)
AES_dec(y,w)


[['00110010', '10001000', '00110001', '11100000'],
 ['01000011', '01011010', '00110001', '00110111'],
 ['11110110', '00110000', '10011000', '00000111'],
 ['10101000', '10001101', '10100010', '00110100']]

 ## Modes of Operation
 ### (parte 2) 
 
 Implementiamo ora il CBC nel caso dell'AES.

In [57]:
text='Il conoscimento e il possesso di se medesimo suol venire o da bisogni e infortuni, o da qualche passione grande, cioè forte; e per lo più dall amore.'
text=(text.encode('utf-8')).hex() 
print('il testo in esadecimali è:\n',text)
IV='caratterealfabet'
IV=(IV.encode('utf-8')).hex()

il testo in esadecimali è:
 496c20636f6e6f7363696d656e746f206520696c20706f73736573736f206469207365206d65646573696d6f2073756f6c2076656e697265206f206461206269736f676e69206520696e666f7274756e692c206f206461207175616c6368652070617373696f6e65206772616e64652c2063696fc3a820666f7274653b206520706572206c6f207069c3b92064616c6c20616d6f72652e


In [59]:
K='Simmetry Desktop'
K=K.encode().hex()
print(K)
#tramutiamo K in una lista 
w=[]
for i in range(len(K)/2):
    w=w+[K[2*i:2*i+2]]
K=w    
print(K)   
# creazione del key_schedule
w=KeyExpansion(K)

53696d6d65747279204465736b746f70
['53', '69', '6d', '6d', '65', '74', '72', '79', '20', '44', '65', '73', '6b', '74', '6f', '70']


In [60]:
def AES_CBC(text,K,IV):
    
    
    #text è in esadecimali
    
    output=''
    
    while len(text)%32 != 0:
        text=text+'0'
        
    y=HexToBin(IV)  
    
    text=HexToBin(text)
    
    for i in range(len(text)/128):
        
        block=text[128*i:128*i+128]
        
        block=sommaxor(y,block)
        
        x=[]
        
        for j in range(len(block)/8):
            x=x+[block[8*j:8*j+8]]   
        y=AES(x,K)
        
        string=''
        for i in y:
            string=string+i
        
        y=string
        
        output=output+y
        
    return output

In [61]:
y=AES_CBC(text, w, IV)

print('Il testo cifrato in esadecimali è:\n', BinToHex(y))

Il testo cifrato in esadecimali è:
 FF65E9F0E85D0CDF07575BF654716D0D3B147528B40B5EF28C281CD086CFD24FB97FDCD7F5A731DB7444AE34F2E92A80BA4BEB11448248D674B5CC23DEA631F91E14F6C611EA26580C0E474B7E02532ED7B36B75A3D6191850BC20A6B21F44FC8C5FFBBDA8DB96B779A62012131397CBFD968AD302FD1B7C78314D47581125649CBB3179EF2A424CB34CC60CE409B862D712958E367318ADD4D7149D9DB3423A


In [62]:
def AES_CBC_dec(text,K,IV):
    
    output=''
    
    y0=HexToBin(IV)
    
    
    text=HexToBin(text)
    
    
    
    for i in range(len(text)/128):
        
        
        block=text[128*i:128*i+128]
        
        y=[]
        
        for j in range(len(block)/8):
            y=y+[block[8*j:8*j+8]]
        
        hold=''
        for s in range(16):
            hold=hold+y[s]

        x=AES_dec(y,K)
        
        
        string=''
        for h in range(4):
            for k in range(4):
                string=string+x[k][h]
        x=string
        
        x=sommaxor(y0,x)
        
        
        y0=hold
        
        output=output+x
     
    return output
    

In [63]:
text=AES_CBC_dec(BinToHex(y),w,IV)

print('il plaintext in esadecimali è:\n',BinToHex(text))
print('il plaintext originale è:\n',bytearray.fromhex(BinToHex(text)).decode())

il plaintext in esadecimali è:
 496C20636F6E6F7363696D656E746F206520696C20706F73736573736F206469207365206D65646573696D6F2073756F6C2076656E697265206F206461206269736F676E69206520696E666F7274756E692C206F206461207175616C6368652070617373696F6E65206772616E64652C2063696FC3A820666F7274653B206520706572206C6F207069C3B92064616C6C20616D6F72652E000000000000000000
il plaintext originale è:
 Il conoscimento e il possesso di se medesimo suol venire o da bisogni e infortuni, o da qualche passione grande, cioè forte; e per lo più dall amore.         
