# **Estruturas criptograficas: TP2 problema 2**

## Descrição

Uma das aplicações mais importantes do teorema chinês dos restos (CRT) em criptografia é a transformada NTT “Number Theoretic Transform”.  Esta transformada é uma componente importantes de “standards” PQC  como o Kyber e o Dilithium mas também de outros algoritmos submetidos ao concurso NIST PQC.  A transformação NTT tem várias opções e aquela que está apresentada no Capítulo 4:  Problemas Difíceis  usa o CRT.
    Neste problema pretende-se uma implementação Sagemath  do NTT-CRT tal como é descrito nesse documento.

Esta versão particular de NTT que deriva das propriedades do CRT só se aplica a corpos primos em que o primo q tem uma forma particular. 
Também não se aplica a qualquer elemento de q mas apenas aos conjunto de polinómios de graus inferior a um certo limite N da forma de uma potência de 2.

## Passos para calcular a transformada

Escolha de um N da forma 2^d  e um primo q que  verifique q = 1 mod 2N.

Calculo das raízes do polinómio da forma *omega.nth_root(2) * omega^i* em que *omega = primitive_root(q)^2* Este passo é efetuado apenas uma vez, pois apenas depende de N e q.

Os N resíduos calculam-se como f(s_i).

## Inversa da transformada

Para obter o polinómio a partir da transfornada é calculado o vetor *mu* (base), atravéz dos módulos CRT (calculado apenas uma vez pois so depende de N e q)

Posteriormente é feito o somatório do produto dos resíduos com o vetor mu.

In [1]:
from sage.all import *

In [2]:
def ntt_transform(f, s):
    
    # Calcula a transformada NTT de f
    trans = [f(s_i) for s_i in s]
    
    return trans

def ntt_inverse(trans, mu):

    # Calcula a transformada inversa
    f_inv = [mu[i] * trans[i] for i in range(len(trans))]

    return sum(f_inv)

def raizes(omega, N):
    
    s = [omega.nth_root(2) * omega^i for i in range(N)]
    
    return s

def base_mu(x, s, N):
    
    mods = [x - s[i] for i in range(N)]

    mu = CRT_basis(mods)
    
    return mu
    

# Escolha de valores
q = 3329
N = 256
omega = primitive_root(q)^2

# Polinômio de exemplo
f = PolynomialRing(GF(q), 'w')
w = f.gen()
# f = 1 + x -2*x^2 - x^3


# Cálculo das raízes
s = raizes(omega, N)

mu = base_mu(w, s, N)


In [3]:
# p1 = f.random_element(7)
p1 = w^254 + w^251 + w^248 + w^246 + w^245 + w^241 + w^240 + w^239 + w^237 + w^236 + w^235 + w^234 + w^233 + w^231 + w^228 + w^223 + w^222 + w^221 + w^220 + w^219 + w^214 + w^212 + w^210 + w^206 + w^204 + w^202 + w^198 + w^197 + w^193 + w^192 + w^191 + w^190 + w^189 + w^188 + w^187 + w^185 + w^183 + w^182 + w^181 + w^179 + w^178 + w^177 + w^173 + w^172 + w^170 + w^169 + w^166 + w^165 + w^161 + w^158 + w^157 + w^156 + w^154 + w^153 + w^152 + w^151 + w^149 + w^148 + w^145 + w^144 + w^142 + w^140 + w^139 + w^138 + w^134 + w^128 + w^126 + w^125 + w^123 + w^121 + w^119 + w^118 + w^117 + w^116 + w^113 + w^111 + w^109 + w^106 + w^105 + w^104 + w^100 + w^98 + w^95 + w^94 + w^93 + w^92 + w^91 + w^90 + w^89 + w^87 + w^86 + w^80 + w^78 + w^76 + w^72 + w^70 + w^69 + w^68 + w^67 + w^66 + w^64 + w^63 + w^60 + w^57 + w^56 + w^54 + w^53 + w^52 + w^49 + w^42 + w^41 + w^40 + w^38 + w^36 + w^35 + w^32 + w^31 + w^30 + w^28 + w^27 + w^25 + w^21 + w^18 + w^17 + w^15 + w^12 + w^11 + w^9 + w^7 + w^6 + w^5 + 1
print(p1)

trans1 = ntt_transform(p1, s)
print(trans1)

orig = ntt_inverse(trans1, mu)
print(orig)

w^254 + w^251 + w^248 + w^246 + w^245 + w^241 + w^240 + w^239 + w^237 + w^236 + w^235 + w^234 + w^233 + w^231 + w^228 + w^223 + w^222 + w^221 + w^220 + w^219 + w^214 + w^212 + w^210 + w^206 + w^204 + w^202 + w^198 + w^197 + w^193 + w^192 + w^191 + w^190 + w^189 + w^188 + w^187 + w^185 + w^183 + w^182 + w^181 + w^179 + w^178 + w^177 + w^173 + w^172 + w^170 + w^169 + w^166 + w^165 + w^161 + w^158 + w^157 + w^156 + w^154 + w^153 + w^152 + w^151 + w^149 + w^148 + w^145 + w^144 + w^142 + w^140 + w^139 + w^138 + w^134 + w^128 + w^126 + w^125 + w^123 + w^121 + w^119 + w^118 + w^117 + w^116 + w^113 + w^111 + w^109 + w^106 + w^105 + w^104 + w^100 + w^98 + w^95 + w^94 + w^93 + w^92 + w^91 + w^90 + w^89 + w^87 + w^86 + w^80 + w^78 + w^76 + w^72 + w^70 + w^69 + w^68 + w^67 + w^66 + w^64 + w^63 + w^60 + w^57 + w^56 + w^54 + w^53 + w^52 + w^49 + w^42 + w^41 + w^40 + w^38 + w^36 + w^35 + w^32 + w^31 + w^30 + w^28 + w^27 + w^25 + w^21 + w^18 + w^17 + w^15 + w^12 + w^11 + w^9 + w^7 + w^6 + w^5 + 1
[104

## Teste

Para testar o bom funcionamento do algoritmo, foi efetuado um teste com um N e q "pequenos"

Primeiro é calculada a transformada de um polinómio e posteriormente obtido o polinómio original pelo processo inverso.

No segundo teste é multiplicado um polinomio por ele mesmo a nível dos residuos e obtido o polinomio resultante atravéz da transformada.

In [4]:
# Calcula a transformada NTT de p1
p2 = f.random_element(3)
print(p2)
trans2 = ntt_transform(p2, s)
print(trans2)

# Multiplica as transformadas ponto a ponto
trans_produto = [int(trans2[i]) * int(trans2[i]) for i in range(N)]
print(trans_produto)

# Calcula a transformada inversa do resultado da multiplicação
produto_orig = ntt_inverse(trans_produto, mu)

print(produto_orig)

print(p2*p2)

2409*w^3 + 680*w^2 + 1744*w + 429
[257, 2010, 2286, 1304, 1352, 2389, 1, 964, 2780, 1346, 791, 2723, 1434, 233, 1462, 363, 891, 3190, 2020, 96, 3192, 2486, 508, 1113, 864, 705, 555, 1448, 1792, 2804, 292, 1501, 1813, 1897, 1262, 2880, 2333, 3224, 2731, 159, 2279, 2037, 3007, 1553, 455, 1274, 229, 2442, 1817, 1223, 3106, 970, 170, 1347, 1245, 2072, 2592, 1052, 770, 264, 2787, 1602, 2807, 2682, 291, 2670, 33, 2142, 2516, 699, 2239, 999, 493, 780, 2727, 2803, 408, 531, 2208, 2483, 1683, 1984, 2285, 2209, 1152, 1300, 2176, 1928, 2259, 2164, 1872, 2102, 975, 2824, 1039, 3106, 937, 677, 2489, 3056, 776, 2432, 2881, 1320, 1418, 2707, 832, 3270, 2606, 792, 2657, 1511, 2914, 1211, 2376, 2409, 1824, 1396, 2952, 1356, 1854, 373, 2122, 1154, 752, 1046, 614, 3247, 1937, 1672, 492, 1599, 2809, 2219, 1350, 327, 29, 2070, 2087, 2982, 702, 3181, 1430, 990, 1430, 1596, 2151, 2432, 842, 1767, 2614, 2650, 2713, 2856, 2109, 1726, 2365, 785, 2426, 3053, 120, 2713, 1954, 3160, 2616, 2084, 3323, 781, 526, 495