<div style="width: 100%; clear: both;">
    <div style="float: left; width: 50%;">
       <img src="http://www.uoc.edu/portal/_resources/common/imatges/marca_UOC/UOC_Masterbrand.jpg", align="left">
    </div>
</div>

<div style="float: right; width: 50%;">
    <p style="margin: 0; padding-top: 22px; text-align:right;">M1.771 · Privadesa</p>
    <p style="margin: 0; text-align:right;">Màster Universitari en Ciberseguretat i Privadesa</p>
    <p style="margin: 0; text-align:right; padding-button: 100px;">Estudis d'Informàtica, Multimèdia i Telecomunicació</p>
</div>

</div>
<div style="width: 100%; clear: both;">
<div style="width:100%;">&nbsp;</div>

Privadesa
============================

--- 

Exercicis resolts - Protocols criptogràfics
-----------------------------------------------------

---

### Instruccions d'ús

Aquest *notebook* conté un conjunt d'exercicis sobre protocols criptogràfics que permeten preservar la privadesa, que us poden servir per practicar els conceptes explicats en els mòduls teòrics.

Us recomanem que intenteu fer aquests problemes vosaltres mateixos i que, una vegada realitzats, compareu la solució que us proposem amb la vostra. No dubteu a adreçar tots els dubtes que sorgeixin de la resolució d'aquests exercicis o bé de les solucions proposades al fòrum de l'aula.

Per tal de fer les activitats proposades, hauríeu d'estar familiaritzats amb la programació en Python. Si no heu programat mai fent servir aquest llenguatge, us recomanem que reviseu les unitats d'introducció a la programació Python que trobareu a l'aula.


### Introducció

En aquests exercicis implementarem un conjunt de protocols criptogràfics que es troben al mòdul teòric de protocols criptogràfics. Aquests protocols s'executen entre un conjunt d'agents o entitats (normalment dues, però, per a alguns protocols, en poden ser més). Per tal d'implementar aquestes entitats, farem servir programació orientada a objectes: cada entitat estarà representada per una classe de Python. Els mètodes de les classes implementaran les diferents accions que pot fer cada entitat. Així, les activitats consistiran, d'una banda, a implementar els mètodes de les classes que representen els actors de cada protocol i, d'altra banda, a executar el protocol complet fent interactuar els diferents actors. Addicionalment, podeu crear les funcions auxiliars que considereu d'interès per resoldre els exercicis.

A continuació trobareu una petita [introducció a la programació orientada a objectes en Python](#1.--Introducció-a-la-programació-orientada-a-objectes-en-Python), on s'expliquen els conceptes clau d'aquest paradigma de programació (que seran necessaris per resoldre les activitats), així com la [definició de funcions i variables auxiliars](#2.--Definició-de-funcions-i-variables-auxiliars) que podeu fer servir en la implementació dels protocols.

Després, s'inclouen els enunciats de dues activitats:
* [Exercici 1](#3.--La-prova-de-coneixement-nul-del-logaritme-discret): La prova de coneixement nul del logaritme discret
* [Exercici 2](#4.--El-protocol-de-PIR-de-Kushilevitz-i-Ostrovsky): El protocol de PIR de Kushilevitz i Ostrovsky

**Nota:** Les dues cel·les de codi següents permeten activar les alertes d'estil per al codi d'aquest *notebook*. Si voleu comprovar que el vostre codi segueix la guia d'estil de Python, podeu descomentar-les i executar-les. A partir d'aleshores, qualsevol altra cel·la de codi que s'executi passarà una revisió d'estil i es mostraran alertes que avisaran de les línies de codi que no compleixin amb la guia, tot informant de quin és el problema detectat.

In [1]:
# %load_ext pycodestyle_magic

In [2]:
# %pycodestyle_on

In [1]:
import sys
print(sys.executable)

/Users/guillemhernandezsola/code/protocols-master/env/bin/python3.13


# 1.- Introducció a la programació orientada a objectes en Python

Python ens permet crear classes, de manera que podem aprofitar tots els avantatges de la programació orientada a objectes també en aquest llenguatge. En aquesta secció, presentarem les funcionalitats més essencials de les classes de Python i aprofitarem per repassar els conceptes bàsics de programació orientada a objectes.

Per **definir** una classe en Python fem servir la paraula clau `class`. Dins d'una classe podrem definir-hi un conjunt de **mètodes**, que no són més que funcions que serveixen d'interfície de la classe amb el que hi ha fora d'aquesta. 

In [2]:
class Client:

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key

De la mateixa manera que amb la definició de funcions, la definició d'una classe és només una descripció d'aquesta. Per tant, al descriure una classe no estem executant res. Per tal de crear un objecte d'una classe, necessitarem ***instanciar*** aquesta classe. La notació que es fa servir en Python per crear una instància d'una classe consisteix a fer servir el nom de la classe seguit de dos parèntesis, com si fos una crida a una funció:


In [3]:
un_client = Client()

D'aquesta manera, la variable `un_client` conté una instància de la classe `Client`. Això ens crearia un client sense dades. A vegades, però, ens pot interessar personalitzar aquesta inicialització. Les classes tenen un mètode especial que s'anomena **constructor** (`__init__`) i que es crida quan s'ha d'instanciar una classe. Així, doncs, si incloem aquest mètode especial a la nostra classe, el mètode s'invocarà quan s'instanciï un nou objecte. 

In [4]:
class Client:

    def __init__(self):
        self.alpha = 3
        self.a = 221
        self.p = 1087

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


un_client = Client()

Ara, al crear un objecte de la classe `Client`, l'objecte contindria una variable amb els tres valors especificats. Addicionalment, el mètode `__init__` accepta paràmetres, cosa que ens permet personalitzar encara més la inicialització dels objectes de la nostra classe.

In [5]:
class Client:

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


un_client = Client(3, 221, 1087)
un_a_client = Client(3, 254, 1087)

Amb aquest codi, especificarem els tres paràmetres que volem que emmagatzemi cada client en el moment d'instanciar la classe. D'aquesta manera, podem crear dos objectes de la classe client, cadascun dels quals té uns paràmetres diferents emmagatzemats.

Una vegada tenim una instància d'una classe, podem invocar-ne els mètodes. Per fer-ho, farem servir el nom de l'objecte seguit d'un punt, el nom del mètode i uns parèntesis entre els quals inclourem els arguments:

In [6]:
un_client.shared_key(679)

731

En els exemples de codi que hem vist fins ara pot semblar que hi ha un error: el nombre d'arguments que fem servir a l'instanciar l'objecte o cridar els mètodes és diferent del nombre d'arguments que hi ha a la definició dels respectius mètodes. Precisament, el que distingeix els mètodes d'una classe de les funcions és que el primer argument que reben com a paràmetre és un objecte de la mateixa classe. Per convenció, anomenem aquest primer argument **`self`**. Així, doncs, la crida a `blind_message` anterior és equivalent a:

In [7]:
Client.shared_key(un_client, 679)

731

Aquest primer argument ens permet cridar mètodes de la classe des de la mateixa classe:

In [8]:
class Client:

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key

    def call_shared_key(self, k_pub_counter_part):
        self.shared_key()

L'altre detall que podem apreciar dels exemples són les assignacions que es fan a `self.alpha`, `self.a` i `self.p`, entre d'altres. Aquestes variables són **variables d'instància**, de manera que cada instància de la classe `Client` tindrà la seva còpia d'aquestes variables. A Python també podem definir **variables de classe**, que són variables que comparteixen totes les instàncies d'una mateixa classe. En el següent exemple, podem veure la diferència entre els dos tipus de variables:

In [9]:
class Client:

    shared_type = "DH"

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

In [10]:
client_1 = Client(3, 221, 1087)
client_2 = Client(3, 254, 1087)

print(client_1.alpha, client_1.a, client_1.p)
print(client_2.alpha, client_2.a, client_2.p)

3 221 1087
3 254 1087


In [12]:
print(Client.shared_type, client_1.shared_type, client_2.shared_type)
Client.shared_type = "ECDH"
print(Client.shared_type, client_1.shared_type, client_2.shared_type)

DH DH DH
ECDH ECDH ECDH


Cal anar amb compte a l'hora de modificar els valors de les variables de classe, ja que fer-ho a través dels objectes pot tenir resultats diferents dels que esperaria el programador. El lector interessat pot consultar l'extensa documentació en línia ([1](http://stackoverflow.com/questions/68645/static-class-variables-in-python), [2](http://anandology.com/python-practice-book/object_oriented_programming.html)) per endinsar-se en el món de la programació orientada a objectes en Python, tot i que el que hem vist en aquesta secció és suficient per realitzar la pràctica.

Finalment, una vegada tenim definits els usuaris del nostre protocol com a classes de Python, podem implementar tot el protocol fent crides a aquestes classes. Per exemple, la classe `Client` de l'exemple anterior correspon a un usuari del protocol d'intercanvi de claus de Diffie i Hellman. Per tant, la implementació del protocol seria la que es mostra a continuació. 

In [13]:
class Client:

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


user_A = Client(3, 221, 1087)
user_B = Client(3, 254, 1087)

protocol_step_1 = user_A.public_value()
protocol_step_2 = user_B.public_value()
shared_key_A = user_A.shared_key(protocol_step_2)
shared_key_B = user_B.shared_key(protocol_step_1)

print("Shared key obtained by A = {}. Shared key obtained by B = {}".format(
            shared_key_A, shared_key_B))

Shared key obtained by A = 895. Shared key obtained by B = 895


# 2.- Definició de funcions i variables auxiliars

La cel·la de codi següent conté definicions de constants, classes i funcions que es fan servir en la implementació dels protocols criptogràfics d'aquest *notebook*. Veureu que aquestes definicions es fan servir en els esquelets que us proporcionem com a base per realitzar les activitats. A més, podeu fer servir aquestes funcions per implementar les vostres solucions sempre que ho necessiteu.

La classe `InvalidParams` (que hereta de la classe [`Exception`](https://docs.python.org/3/library/exceptions.html#Exception)) es fa servir per a llançar excepcions produïdes per una inicialització de paràmetres incorrecta. Per exemple, si tinguéssim una classe que emmagatzemés claus RSA, podríem fer servir `InvalidParams` per llançar una excepció si s'intenta crear un objecte de la classe RSA fent servir valors de $p$ i $q$ que no fossin primers.

La funció `print_debug` es fa servir per mostrar missatges per la sortida estàndard, condicionats als nivells de *log* actual (indicat per la constant `LOG_LEVEL`) i del missatge (indicat pel paràmetre `log_level`). Així, la funció mostrarà a la pantalla el missatge que rebi com a primer paràmetre si el nivell de *log* indicat pel missatge és inferior o igual al nivell de *log* especificat per la constant `LOG_LEVEL`.

In [11]:
# Log level constants
LOG_CRITICAL = 0
LOG_INFO = 1
LOG_DEBUG = 2

# Current log level
LOG_LEVEL = LOG_CRITICAL


class InvalidParams(Exception):
    """
    Exception raised when the initialization params are not valid
    """
    pass


def print_debug(msg, log_level):
    """
    Prints a message if log_level <= LOG_LEVEL
    :param msg: string, the message to print
    :param log_level: int, message's level
    """
    if log_level <= LOG_LEVEL:
        print(msg)

# 3.- La prova de coneixement nul del logaritme discret

En aquest primer exercici implementarem el protocol de **prova de coneixement nul** que hi ha descrit al mòdul de *Protocols criptogràfics* dels materials de l’assignatura.

Així, doncs, el nostre protocol estarà format per dos usuaris: un provador i un verificador. El provador voldrà demostrar al verificador que coneix un valor secret, però sense revelar-lo. 

Per tal que el nostre protocol pugui ser implementat, farem servir programació orientada a objectes i definirem dues classes, una per al provador i una altra per al verificador.

La classe per al **provador** la definirem de la manera següent:

In [12]:
!pip install sympy
from sympy.ntheory.residue_ntheory import is_primitive_root
from sympy.ntheory.primetest import isprime


class UocZkpProver:
    """
    Class representing a honest prover. The prover knowns a value x
        such that g^x = y mod p, and wants to prove this knowledge
        without revealing x.
    """

    def __init__(self, p, g, y, x, name="HonestProver"):
        """
        Initializes the prover. Checks the validity of the arguments,
        sets the public parameters p, g, y and sets the
        secret x.

        This method has to initialize instance variables p, g, y and
        x (r will remain unset until compute_c method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param x: integer, secret
        :param name: optional string, name of the prover (to be used
            when printing data to the console)
        """

        self.p = None
        self.g = None
        self.y = None
        self.x = None
        self.r = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))
            if x is not None:
                assert (pow(g, x, p) == y)
        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y
        self.x = x

        print_debug("{}:\tInitialized with p = {}, g = {}, y = {} and x = {}".
                    format(self.name, self.p, self.g, self.y, self.x),
                    LOG_INFO)

    def compute_c(self):
        """
        Chooses a random r and computes c.

        This method must set self.r.
        :return: integer, c
        """

        c = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("{}:\tI amb sending c = {}".format(self.name, c), LOG_INFO)
        return c

    def compute_h(self, b):
        """
        Computes h for the given b.
        :param b: integer with a boolean value (0 or 1)
        :return: integer, h
        """

        h = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("{}:\tI amb sending h = {}".format(self.name, h), LOG_INFO)
        return h



Fixeu-vos que el provador té com a variables d’instància els paràmetres del sistema `p` i `g`, el valor del qual vol provar el logaritme discret `y` i el valor secret `x` que correspon justament al logaritme discret d'`y` en base `g` mòdul `p`. També s’ha de poder guardar el valor `r` que generarà en el primer pas del protocol i que després utilitzarà en el tercer pas. A l’hora d’inicialitzar aquests paràmetres (en el constructor de la classe), es comprova que siguin vàlids a través de sentències `assert`. En la definició del provador també hi ha definides dues accions per mitjà de dos mètodes. El primer calcula `c`, el valor necessari per al primer pas del protocol. El segon mètode calcula el valor `h`, necessari en el tercer pas del protocol.

D’altra banda, de forma anàloga definirem una classe per al **verificador**:

In [13]:
class UocZkpVerifier:
    """
    Class representing a verifier. The verifier wants to known whether
        the prover has a value x such that g^x = y mod p.
    """

    def __init__(self, p, g, y, name="Verifier"):
        """
        Initializes the verifier. Checks the validity of the arguments,
            and sets the public parameters p, g, y.

        This method has to initialize instance variables p, g and y (c
            and b will remain unset until choose_b method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param name: optional string, name of the verifier (to be used
            when printing data to the console)
        """
        self.p = None
        self.g = None
        self.y = None
        self.c = None
        self.b = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))

        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y

        print_debug("{}:\t\tInitialized with p = {}, g = {} and y = {}".format(
            self.name, self.p, self.g, self.y), LOG_INFO)

    def choose_b(self, c):
        """
        Selects a random boolean b value.

        This method has to initialize instance variables b and c.
        :param c: integer, value c (received from the prover)
        :return: integer, b with the chosen boolean
        """

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("{}:\t\tI have chosen b = {}".format(self.name, self.b),
                    LOG_INFO)
        return self.b

    def verify(self, h):
        """
        Verifies if the prover has correctly solved the challenge.

        :param h: integer, value h (received from the proves)
        :return: boolean, result of the proof
        """

        result = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("{}:\t\tThe result of the verification is {}".format(
            self.name, result), LOG_INFO)
        return result

Igual que el provador, el verificador també emmagatzema les variables corresponents als paràmetres del sistema `p` i `g` i el valor `y` del qual el provador coneix el logaritme discret. Evidentment, el verificador no coneix el valor `x`. D’altra banda, en la definició del verificador també hi ha definides dues accions per mitjà de dos mètodes. El primer tria el bit `b` necessari en el segon pas del protocol. El segon mètode verifica la igualtat del pas 4 a partir dels valors que s’han anat intercanviant al protocol.

Aquesta primera activitat consistirà, doncs, a implementar els mètodes de càlcul dels valors $c$ i $h$ de la classe del provador, i els mètodes de selecció del bit $b$ i verificació de la prova, de la classe del verificador.

**Exercici 1.1** Funció que implementa el mètode `compute_c` de la classe del provador.

Aquest mètode implementarà el pas 1 del protocol. El mètode, sense rebre cap paràmetre, generarà un valor aleatori i en retornarà el corresponent valor `c`.
* El mètode no rebrà cap paràmetre.
* El mètode retornarà el valor `c` calculat en el pas 1 del protocol (i actualitzarà les variables d'instància pertinents).

**Exercici 1.2** Funció que implementa el mètode `compute_h` de la classe del provador.

Aquest mètode implementarà el pas 3 del protocol. El mètode rebrà el bit que ha triat el verificador i en retornarà el corresponent valor `h`.
* La variable `b` rebrà el bit triat.
* La funció retornarà el valor `h` del pas 3 del protocol.

**Exercici 1.3** Funció que implementa el mètode `choose_b` de la classe del verificador.

Aquest mètode implementarà el pas 2 del protocol. El mètode, sense rebre cap paràmetre, retornarà un bit aleatori.
* El mètode no rebrà cap paràmetre.
* El mètode retornarà el bit aleatori `b` (i actualitzarà les variables d'instància pertinents).

**Exercici 1.4** Funció que implementa el mètode `verify` de la classe del provador.

Aquest mètode implementarà el pas 4 del protocol. El mètode rebrà el valor `h` i retornarà cert o fals en funció de si la validació ha estat correcta o no.
* El paràmetre `h` contindrà el valor proporcionat pel provador.
* El mètode retornarà `True` o `False`, en funció de si la verificació és o no correcta.

**Exercici 1.5** Funció que implementa el protocol.

Aquesta funció implementarà el protocol sencer entre provador i verificador. La funció `challenge` rebrà com a variables d'entrada una instància de la classe provador, una instància de la classe verificador i el nombre d'iteracions que ha d'executar el protocol. La funció executarà el protocol de la prova de coneixement nul tantes vegades com s'hagi especificat i retornarà un booleà indicant si l'execució ha tingut èxit i un float amb la probabilitat que tenia un provador deshonest de superar la prova amb èxit.
* El paràmetre `prover` contindrà una instància de la classe del provador.
* El paràmetre `verifier` contindrà una instància de la classe del verificador.
* El paràmetre `num_times` contindrà el nombre d'iteracions que executarà el protocol.
* La funció retornarà una tupla `(A, B)` on `A` serà `True` o `False` en funció de si el provador ha superat la prova, i `B` la probabilitat que un provador que desconegui el secret pugui enganyar el verificador.

Feu servir la funció que acabeu de definir per executar el protocol entre un provador i un verificador fent servir 1 i 10 iteracions, i:
* Comproveu que el provador és capaç de superar el repte.
* Mostreu la probabilitat teòrica d'engany que tindria un provador que desconegui el secret per als dos casos.

In [14]:
def challenge(prover, verifier, num_times=1):
    """
    Executes the full zero knowledge protocol between a prover and
        a verifier num_times times. The execution of the protocol
        is successful if the prover is able to convice the verifier
        in all the executions.

    :param prover: UocZkpProver object
    :param verifier: UocZkpVerifier object
    :param num_times: integer, number of times to execute the ZKP
    :return: 2-element tuple, a boolean indicating whether the challenge
        was successful and a float
    """

    success, prob = None, None

    # --- IMPLEMENTATION GOES HERE ---

    # --------------------------------

    return success, prob

# 4.- El protocol de PIR de Kushilevitz i Ostrovsky

En aquest segon exercici implementarem el protocol de PIR de **Kushilevitz i Ostrovsky** que hi ha descrit al mòdul de *Protocols criptogràfics* dels materials de l’assignatura.

Així, doncs, el nostre protocol estarà format per dues entitats: una base de dades, que mantindrà una matriu de bits (de mida $s \times t$), i un usuari de la base de dades, que voldrà consultar un dels bits de la matriu (el que es troba a la posició $(ip, jp)$).

Per tal que el nostre protocol pugui ser implementat, farem servir programació orientada a objectes i definirem dues classes, una per a l'usuari i una altra per a la base de dades.

La classe per a l'**usuari** la definirem de la manera següent:

In [15]:
class User:
    """
    Class representing a user that wants to query a database (which is a
        matrix m of s x t bits). The user knows the size of the matrix,
        and wants to query for the content a specific position m_{ij}.
    """

    def __init__(self, n_bits=8, s=3, t=5):
        """
        Initializes the user. Creates a Goldwasser-Micali public key, and
            stores it in instance variables.

        This method has to initialize instance variables p, q, n, a, s and
            t (ip and ij will remain unset until the prepare_query method
            is called).

        :param n_bits: integer, number of bits of the public key modulus.
        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.p, self.q, self.n, self.a = None, None, None, None
        self.s, self.t = None, None
        self.ip, self.jp = None, None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  PK = ({}, {}), sk = ({}, {})".format(
            self.n, self.a, self.p, self.q), LOG_INFO)

    def prepare_query(self, ip, jp):
        """
        Computes the values to query the database for position (ip, jp)
            from the database matrix. Checks that the received indexes
            are valid, and computes the values to send to the database.

        This method has to initialize instance variables ip and jp.

        :param ip: integer, row of the database matrix to query.
        :param jp: integer, column of the database matrix to query.
        :return: two-elements tuple, the modulus n (an integer) and
            a list of the x_i values (integers).
        """

        x = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  Query for index ({}, {})".format(ip, jp), LOG_INFO)
        print_debug("[U]  n = {}, x = {}".format(self.n, x), LOG_INFO)
        return self.n, x

    def recover_bit(self, z):
        """
        Recovers the bit in position (ip, jp) of the database matrix from
            the values z sent by the database.

        :param z: list of integers, as received from the database.
        :return: integer, the recovered bit.
        """

        recovered_bit = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  Recovered bit: {}".format(recovered_bit), LOG_INFO)
        return recovered_bit

Fixeu-vos que l'usuari té com a variables d’instància la clau pública del criptosistema de Goldwasser-Micali que fa servir per fer la consulta (`p`, `q`, `n` i `a`), la mida de la matriu de la base de dades a consultar (`s` i `t`) i els índexs de la posició que vol consultar (`ip`, `jp`). La clau pública de l'usuari es genera aleatòriament en el constructor de la classe, considerant que la mida del mòdul ha de ser d'`n_bits` bits. Els valors dels índexs a consultar s'establiran quan es cridi el mètode `prepare_query`, moment en el qual l'usuari prepararà la consulta que s'ha d'enviar a la base de dades. Finalment, donada la resposta de la base de dades, el mètode `recover_bit` implementarà la recuperació del valor consultat.

D’altra banda, definirem una classe per a la **base de dades**:

In [16]:
class Database:
    """
    Class representing the database that is queried with the PIR protocol.
        The database stores a matrix m of s x t bits.
    """

    def __init__(self, s=3, t=5):
        """
        Initializes the database by generating a random matrix of bits of
            size sxt.

        This method has to initialize instance variables s, t and m.

        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.s, self.t = None, None
        self.m = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[DB] The database is:\n{}".format(self.m), LOG_INFO)

    def query(self, n, x):
        """
        Processes a query from a user.

        :param n: integer, the modulus n from the user's public key.
        :param x: list of integers, the x_j values as received from the user.
        :return: list of integers, the z_i values that constitute the
            database response.
        """

        z = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[DB] z = {}".format(z), LOG_INFO)
        return z

La base de dades té com a variables d'instància la mida de la matriu de la base de dades a consultar (`s` i `t`), així com la matriu en si (`m`). En el constructor de la classe, la matriu de bits s'inicialitza aleatòriament per simular les dades que tindria emmagatzemades. El mètode `query` implementa el càlcul de la resposta que fa la base de dades a una petició de l'usuari, considerant la matriu de bits emmagatzemada.

Aquesta segona activitat consistirà, doncs, a implementar els mètodes d'inicialització de les dues classes, així com els mètodes `prepare_query` i `recover_bit` de la classe que representa un usuari, i el mètode `query` de la classe de la base de dades.

**Exercici 2.1** Funció que implementa el constructor (`__init__`) de la classe de l'usuari.

Aquest mètode implementarà el pas 1 del protocol. El mètode rebrà la mida del mòdul de la clau pública a generar i la mida de la matriu de la base de dades i generarà una clau pública aleatòria del criptosistema de Goldwasser-Micali de la mida especificada. El mètode no retornarà cap valor.
* El paràmetre `n_bits` contindrà la mida del mòdul de la clau pública en bits. Per defecte, aquest valor serà 8.
* El paràmetre `s` contindrà el nombre de files de la matriu de la base de dades. Per defecte, aquest valor serà 3.
* El paràmetre `t` contindrà el nombre de columnes de la matriu de la base de dades. Per defecte, aquest valor serà 5.
* El mètode no retornarà cap valor, però sí que actualitzarà les variables d'instància pertinents.

**Exercici 2.2** Funció que implementa el constructor (`__init__`) de la classe de la base de dades.

Aquest mètode implementarà la inicialització de la base de dades. El constructor rep la mida de la matriu de bits a emmagatzemar i genera una matriu de bits aleatoris de la mida especificada.
* El paràmetre `s` contindrà el nombre de files de la matriu de la base de dades. Per defecte, aquest valor serà 3.
* El paràmetre `t` contindrà el nombre de columnes de la matriu de la base de dades. Per defecte, aquest valor serà 5.
* El mètode no retornarà cap valor, però sí que actualitzarà les variables d'instància pertinents.

**Exercici 2.3** Funció que implementa el mètode `prepare_query` de la classe de l'usuari.

Aquest mètode implementarà el pas 2 del protocol. El mètode rebrà els índexs del bit de la base de dades a consultar i calcularà la llista de valors $x_j$ que codifiquen la consulta que cal realitzar, tot seleccionant aleatòriament els valors $r_j$. El mètode retornarà els valors a enviar a la base de dades: el mòdul de la clau pública de l'usuari, $n$, i la llista de valors $x_j$ calculats.
* El paràmetre `ip` contindrà la fila de la matriu on hi ha el bit que cal consultar.
* El paràmetre `jp` contindrà la columna de la matriu on hi ha el bit que cal consultar.
* La funció retornarà una tupla amb dos valors: el mòdul de la clau pública, `n` (un enter); i la llista de valors enters $x_j$ per $j \in [1, t]$.

**Exercici 2.4** Funció que implementa el mètode `query` de la classe de la base de dades.

Aquest mètode implementarà el pas 3 del protocol. El mètode rebrà la consulta de l'usuari, tal com es retorna en el mètode `prepare_query` de la classe de l'usuari, i generarà la llista de valors $z_i$ que codifiquen la resposta de la base de dades, considerant la base de dades emmagatzemada.

* El paràmetre `n` contindrà el mòdul de la clau pública de l'usuari.
* El paràmetre `x` contindrà una llista de valors enters $x_j$ per $j \in [1, t]$.
* La funció retornarà la llista de valors enters $z_i$ per $i \in [1, s]$.

**Exercici 2.5** Funció que implementa el mètode `recover_bit` de la classe de l'usuari.

Aquest mètode implementarà el pas 4 del protocol. El mètode rebrà la resposta de la base de dades, tal com es retorna en el mètode `query` de la classe de la base de dades, i recuperarà el bit consultat de la matriu de la base de dades, que correspon a la posició $(ip, jp)$. 

* El paràmetre `z` contindrà una llista de valors enters $z_i$ per $i \in [1, s]$.
* La funció retornarà un enter amb el bit recuperat de la base de dades.

**Exercici 2.6** Implementació del protocol.

Implementeu una execució del protocol sencer entre l'usuari i la base de dades. Creeu una instància d'usuari i una de la base de dades i implementeu la interacció entre les dues entitats per tal que l'usuari recuperi un bit de la base de dades.

# 5.- Solucions

A continuació, podeu trobar una possible solució als exercicis proposats en aquest *notebook*. Tingueu en compte que hi poden haver altres maneres de resoldre els exercicis igualment vàlides.

## 5.1.- La prova de coneixement nul del logaritme discret

Definició de funcions auxiliars:

In [21]:
!pip install sympy
from sympy import gcd, mod_inverse
from sympy.ntheory.generate import randprime
from random import randint

def mod_eq_solver(e1_a, e1_b, e1_m):
    """
    Solves equation e1: ax = b mod n
        (e1_a*x = e1_b mod e1_m)

    :return: list of solution(s)
    """

    if gcd(e1_a, e1_m) == 1:
        # If a is invertible, there is only one solution, and we can compute it directly:
        eq1_sols = [(e1_b * mod_inverse(e1_a, e1_m)) % e1_m]
    else:
        g = gcd(e1_a, e1_m)
        # Use integer division //
        e2_a, e2_b, e2_m = e1_a // g, e1_b // g, e1_m // g
        # mod_inverse expects integers
        x2 = (e2_b * mod_inverse(e2_a, e2_m)) % e2_m
        eq1_sols = [int(x2 + e2_m * i) for i in range(g)]
        for sol in eq1_sols:
            assert (((e1_a * sol) % e1_m) == (e1_b % e1_m))

    return eq1_sols



Implementació dels mètodes de les classes:

In [22]:
from sympy.ntheory.residue_ntheory import is_primitive_root
from sympy.ntheory.primetest import isprime


class UocZkpProver:
    """
    Class representing a honest prover. The prover knowns a value x
        such that g^x = y mod p, and wants to prove this knowledge
        without revealing x.
    """

    def __init__(self, p, g, y, x, name="HonestProver"):
        """
        Initializes the prover. Checks the validity of the arguments,
        sets the public parameters p, g, y and sets the
        secret x.

        This method has to initialize instance variables p, g, y and
        x (r will remain unset until compute_c method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param x: integer, secret
        :param name: optional string, name of the prover (to be used
            when printing data to the console)
        """

        self.p = None
        self.g = None
        self.y = None
        self.x = None
        self.r = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))
            if x is not None:
                assert (pow(g, x, p) == y)
        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y
        self.x = x

        print_debug("{}:\tInitialized with p = {}, g = {}, y = {} and x = {}".
                    format(self.name, self.p, self.g, self.y, self.x),
                    LOG_INFO)

    def compute_c(self):
        """
        Chooses a random r and computes c.

        This method must set self.r.
        :return: integer, c
        """

        c = None

        # --- IMPLEMENTATION GOES HERE ---
        self.r = randint(2, self.p - 1)  # 2 <= N <= p-1
        print_debug("{}:\tI have chosen r = {}".format(self.name, self.r), LOG_INFO)
        c = pow(self.g, self.r, self.p)
        # --------------------------------

        print_debug("{}:\tI amb sending c = {}".format(self.name, c), LOG_INFO)
        return c

    def compute_h(self, b):
        """
        Computes h for the given b.
        :param b: integer with a boolean value (0 or 1)
        :return: integer, h
        """

        h = None

        # --- IMPLEMENTATION GOES HERE ---
        h = (self.r + b * self.x) % (self.p - 1)
        # --------------------------------

        print_debug("{}:\tI amb sending h = {}".format(self.name, h), LOG_INFO)
        return h

In [23]:
class UocZkpVerifier:
    """
    Class representing a verifier. The verifier wants to known whether
        the prover has a value x such that g^x = y mod p.
    """

    def __init__(self, p, g, y, name="Verifier"):
        """
        Initializes the verifier. Checks the validity of the arguments,
            and sets the public parameters p, g, y.

        This method has to initialize instance variables p, g and y (c
            and b will remain unset until choose_b method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param name: optional string, name of the verifier (to be used
            when printing data to the console)
        """
        self.p = None
        self.g = None
        self.y = None
        self.c = None
        self.b = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))

        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y

        print_debug("{}:\t\tInitialized with p = {}, g = {} and y = {}".format(
            self.name, self.p, self.g, self.y), LOG_INFO)

    def choose_b(self, c):
        """
        Selects a random boolean b value.

        This method has to initialize instance variables b and c.
        :param c: integer, value c (received from the prover)
        :return: integer, b with the chosen boolean
        """

        # --- IMPLEMENTATION GOES HERE ---
        self.c = c
        self.b = randint(0, 1)
        # --------------------------------

        print_debug("{}:\t\tI have chosen b = {}".format(self.name, self.b),
                    LOG_INFO)
        return self.b

    def verify(self, h):
        """
        Verifies if the prover has correctly solved the challenge.

        :param h: integer, value h (received from the proves)
        :return: boolean, result of the proof
        """

        result = None

        # --- IMPLEMENTATION GOES HERE ---
        result = ((self.c * pow(self.y, self.b)) % self.p == pow(
            self.g, h, self.p))
        # --------------------------------

        print_debug("{}:\t\tThe result of the verification is {}".format(
            self.name, result), LOG_INFO)
        return result

Implementació i execució del protocol:

In [24]:
def challenge(prover, verifier, num_times=1):
    """
    Executes the full zero knowledge protocol between a prover and
        a verifier num_times times. The execution of the protocol
        is successful if the prover is able to convice the verifier
        in all the executions.

    :param prover: UocZkpProver object
    :param verifier: UocZkpVerifier object
    :param num_times: integer, number of times to execute the ZKP
    :return: 2-element tuple, a boolean indicating whether the
        challenge was successful and a float
    """

    success, prob = None, None

    # --- IMPLEMENTATION GOES HERE ---

    results = []
    for _ in range(num_times):
        c = prover.compute_c()
        b = verifier.choose_b(c)
        h = prover.compute_h(b)
        r = verifier.verify(h)
        results.append(r)

    # print(results)
    success = all(results)
    prob = (1/2)**num_times

    # --------------------------------

    return success, prob

In [25]:
p, g, y, x = 7687815937255549241, 27, 828418027377238633, 6041213497581640253

prover = UocZkpProver(p, g, y, x)
verifier = UocZkpVerifier(p, g, y)

success, prob = challenge(prover, verifier, num_times=1)
print("num_times = 1")
print("\tChallenge successful:\t\t{}".format(success))
print("\tProbability of deception:\t{}".format(prob))

success, prob = challenge(prover, verifier, num_times=10)
print("num_times = 10")
print("\tChallenge successful:\t\t{}".format(success))
print("\tProbability of deception:\t{}".format(prob))

num_times = 1
	Challenge successful:		True
	Probability of deception:	0.5
num_times = 10
	Challenge successful:		True
	Probability of deception:	0.0009765625


## 5.2.- El protocol de PIR de Kushilevitz i Ostrovsky

Definició de funcions auxiliars:

In [9]:
from sympy.functions.combinatorial.numbers import legendre_symbol
from sympy.ntheory.generate import randprime
from random import randint
import numpy as np

LOG_INFO = "INFO"
LOG_WARN = "WARN"
LOG_ERROR = "ERROR"

def is_qr_mod_p(a, p):
    leg = legendre_symbol(int(a), int(p))
    if leg == 1:
        return True
    elif leg == -1:
        return False
    else:
        return True


def force_brute_sqrt(a, n):
    for i in range(n):
        if pow(i, 2, n) == a:
            return i
    return False

def print_debug(msg, level=None):
    print(msg)

Implementació dels mètodes de les classes:

In [10]:
class User:
    """
    Class representing a user that wants to query a database (which is a
        matrix m of s x t bits). The user knows the size of the matrix,
        and wants to query for the content a specific position m_{ij}.
    """

    def __init__(self, n_bits=8, s=3, t=5):
        """
        Initializes the user. Creates a Goldwasser-Micali public key, and
            stores it in instance variables.

        This method has to initialize instance variables p, q, n, a, s and
            t (ip and ij will remain unset until the prepare_query method
            is called).

        :param n_bits: integer, number of bits of the public key modulus.
        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.p, self.q, self.n, self.a = None, None, None, None
        self.s, self.t = None, None
        self.ip, self.jp = None, None

        # --- IMPLEMENTATION GOES HERE ---
        self.p = randprime(2**(n_bits/2-1), 2**n_bits/2)
        self.q = randprime(2**(n_bits/2-1), 2**n_bits/2)
        self.n = self.p * self.q
        self.a = randint(2, self.n-1)

        while is_qr_mod_p(self.a, self.p) or is_qr_mod_p(self.a, self.q):
            self.a = randint(2, self.n-1)

        self.s, self.t = s, t
        # --------------------------------

        print_debug("[U]  PK = ({}, {}), sk = ({}, {})".format(
            self.n, self.a, self.p, self.q), LOG_INFO)

    def prepare_query(self, ip, jp):
        """
        Computes the values to query the database for position (ip, jp)
            from the database matrix. Checks that the received indexes
            are valid, and computes the values to send to the database.

        This method has to initialize instance variables ip and jp.

        :param ip: integer, row of the database matrix to query.
        :param jp: integer, column of the database matrix to query.
        :return: two-elements tuple, the modulus n (an integer) and
            a list of the x_i values (integers).
        """

        x = None

        # --- IMPLEMENTATION GOES HERE ---
        try:
            assert ip < self.s and jp < self.t
        except AssertionError:
            raise InvalidParams

        r = np.random.randint(0, self.n, size=self.t)
        while any([v % self.p == 0 or v % self.q == 0 for v in r]):
            r = np.random.randint(0, self.n, size=self.t)

        print_debug("[U]  r = {}".format(r).format(ip, jp), LOG_INFO)
        x = [(self.a*pow(int(re), 2, self.n)) % self.n if j == jp else
             (re**2) % self.n for j, re in enumerate(r)]
        self.ip, self.jp = ip, jp
        # --------------------------------

        print_debug("[U]  Query for index ({}, {})".format(ip, jp), LOG_INFO)
        print_debug("[U]  n = {}, x = {}".format(self.n, x), LOG_INFO)
        return self.n, x

    def recover_bit(self, z):
        """
        Recovers the bit in position (ip, jp) of the database matrix from
            the values z sent by the database.

        :param z: list of integers, as received from the database.
        :return: integer, the recovered bit.
        """

        recovered_bit = None

        # --- IMPLEMENTATION GOES HERE ---
        recovered_bit = int(not (is_qr_mod_p(
            z[self.ip], self.p) and is_qr_mod_p(z[self.ip], self.q)))
        # --------------------------------

        print_debug("[U]  Recovered bit: {}".format(recovered_bit), LOG_INFO)
        return recovered_bit

In [11]:
class Database:
    """
    Class representing the database that is queried with the PIR protocol.
        The database stores a matrix m of s x t bits.
    """

    def __init__(self, s=3, t=5):
        """
        Initializes the database by generating a random matrix of bits of
            size sxt.

        This method has to initialize instance variables s, t and m.

        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.s, self.t = None, None
        self.m = None

        # --- IMPLEMENTATION GOES HERE ---
        self.s, self.t = s, t
        self.m = np.random.randint(0, 2, size=(s, t))
        # --------------------------------

        print_debug("[DB] The database is:\n{}".format(self.m), LOG_INFO)

    def query(self, n, x):
        """
        Processes a query from a user.

        :param n: integer, the modulus n from the user's public key.
        :param x: list of integers, the x_j values as received from the user.
        :return: list of integers, the z_i values that constitute the
            database response.
        """

        z = None

        # --- IMPLEMENTATION GOES HERE ---
        z = []
        for row in self.m:
            zi = 1
            for m, xe in zip(row, x):
                if m:
                    zi = (zi*xe) % n
                else:
                    zi = (zi*pow(int(xe), 2, n)) % n
            z.append(zi)
        # --------------------------------

        print_debug("[DB] z = {}".format(z), LOG_INFO)
        return z

Implementació i execució del protocol:

In [12]:
u = User()
db = Database()

# Com a exemple, recuperem el bit (1, 2)
n, x = u.prepare_query(1, 2)
z = db.query(n, x)
recovered_bit = u.recover_bit(z)

# Comprovem que el bit recuperat és correcte
assert recovered_bit == db.m[1, 2]

[U]  PK = (1157, 202), sk = (13, 89)
[DB] The database is:
[[1 0 1 0 1]
 [1 0 1 1 1]
 [1 1 0 1 1]]
[U]  r = [ 275  284  777  287 1051]
[U]  Query for index (1, 2)
[U]  n = 1157, x = [np.int64(420), np.int64(823), 830, np.int64(222), np.int64(823)]
[DB] z = [np.int64(905), np.int64(593), np.int64(9)]
[U]  Recovered bit: 1
