# Exercício 2 - grupo 6 - Ana Margarida Campos (A85166) , Nuno Pereira (PG42846)

O segundo exercício tinha como objetivo a implementação de duas versões, IND-CPA e IND-CCA, do protótipo **Crystalis Kyber** que foi candidato ao concurso *NIST-PQC*, neste caso da terceira ronda.
<br/>
De seguida, são apresentadas em duas seções (Kyber CPAPKE e Kyber CCAKEM) os resultados da resolução deste exercício acompanhado de uma explicação detalhada de cada função implementada. Este, foi desenvolvido tendo por base o documento *kyber.pdf*. 

## Kyber CPAPKE

Esta versão permite obter uma segurança do tipo IND-CPA, isto é, segurança contra ataques Chosen Plaintext Attacks.
</br>
Numa primeira fase foi necessário implementar algumas funções auxiliares, sendo estas:

- ***parse***: recebe como *input* um conjunto de *bytes* e retorna o polinómio correspondente a esse conjunto;

- ***XOF***: corresponde a uma função do tipo *extendable output function*, utilizando *SHAKE-128*;

- ***PRF***: corresponde a uma função do tipo *pseudorandom function*, utilizando o *SHAKE-256*;

- ***G***: função de *hash* através de *SHA3-512*;

- ***encode***: recebe um polinómio como argumento e, como resultado, retorna um *byte array*;

- ***decode***: contrário do ***encode***, ou seja, recebe um *byte array* e retorna o polinómio correspondente;

- ***compress***: comprime um polinómio e retorna os *bytes* correspondentes;

- ***decompress***: função oposta ao ***compress***, isto é, descomprime *bytes* e retorna o polinómio correspondente;

- ***transposta***: efetua a transposta de uma matriz.

As funções principais centram-se na geração de chaves, cifragem da mensagem passada como parâmetro e posterior decifragem do texto cifrado, obtendo deste modo, a mensagem original:

- ***gerar\_chaves***: com recurso às funções anteriormente apresentadas, ocorre a geração das chaves pública e secreta. A primeira é essencial para a cifragem da mensagem e a segunda para a decifragem do criptograma;

- ***cifragem***: tem como objetivo principal a cifragem de uma mensagem. Desta forma, recebe como parâmetros a chave pública, a mensagem e *coins* (*bytes* aleatórios) e dá como *output* o texto cifrado;

- ***decifragem***: tem como objetivo decifrar um criptograma, obtendo como resultado o texto limpo correspondente. Recebe como argumentos a chave secreta e o criptograma.

Para além destas, recorremos à função ***NTT*** disponibilizada pelo docente.

In [1]:
# imports necessários para a resolução
import os
import random as rn
from sympy import ntt
from cryptography.hazmat.primitives import hashes
import numpy
from sympy import intt
import gzip
import struct

In [2]:
class NTT(object):
#    
    def __init__(self, n=128, q=None):
        if not  n in [32,64,128,256,512,1024,2048]:
            raise ValueError("improper argument ",n)
        self.n = n  
        if not q:
            self.q = 1 + 2*n
            while True:
                if (self.q).is_prime():
                    break
                self.q += 2*n
        else:
            if q % (2*n) != 1:
                raise ValueError("Valor de 'q' não verifica a condição NTT")
            self.q = q
             
        self.F = GF(self.q) ;  self.R = PolynomialRing(self.F, name="w")
        w = (self.R).gen()
        
        g = (w^n + 1)
        xi = g.roots(multiplicities=False)[-1]
        self.xi = xi
        rs = [xi^(2*i+1)  for i in range(n)] 
        self.base = crt_basis([(w - r) for r in rs])  
    
    
    def ntt(self,f):
        def _expand_(f): 
            u = f.list()
            return u + [0]*(self.n-len(u)) 
        
        def _ntt_(xi,N,f):
            if N==1:
                return f
            N_ = N/2 ; xi2 =  xi^2  
            f0 = [f[2*i]   for i in range(N_)] ; f1 = [f[2*i+1] for i in range(N_)] 
            ff0 = _ntt_(xi2,N_,f0) ; ff1 = _ntt_(xi2,N_,f1)  
    
            s  = xi ; ff = [self.F(0) for i in range(N)] 
            for i in range(N_):
                a = ff0[i] ; b = s*ff1[i]  
                ff[i] = a + b ; ff[i + N_] = a - b 
                s = s * xi2                     
            return ff 
        
        return _ntt_(self.xi,self.n,_expand_(f))
        
    def ntt_inv(self,ff):                              ## transformada inversa
        return sum([ff[i]*self.base[i] for i in range(self.n)])
    
    def random_pol(self,args=None):
        return (self.R).random_element(args)

In [3]:
# constantes do Kyber 
n = 256
q = 343576577
T = NTT(n,q)
k = 2
n1 = 3
n2 = 2
du, dv = 10, 4

# criação dos anéis necessários
_Z.<w>  = ZZ[]
R.<w>   = QuotientRing(_Z ,_Z.ideal(w^n - 1))

_Q.<w>  = GF(q)[]
Rq.<w>  = QuotientRing(_Q , _Q.ideal(w^n + 1))


# obtenção do tamanho necessário para o decompress
def tamanho(stringB, numberS):
    count = 10
    auxCount = 1
    i = 0
    while i < len(stringB):
        if numberS == auxCount:
            i = i + 10
            while (i < len(stringB)) and (stringB[i] != 31 or stringB[i + 1] != 139 or stringB[i + 2] != 8 or stringB[i + 3] != 0  ):
                count = count + 1
                i = i + 1
            auxCount = auxCount + 1

        i = i + 1
        if (i + 10) < len(stringB) and (stringB[i] == 31 and stringB[i + 1] == 139 and stringB[i + 2] == 8 and stringB[i + 3] == 0 ):
            auxCount = auxCount + 1
        if auxCount > numberS:
            break
    return count

# recebe como input um conjunto de bytes e retorna o polinómio correspondente a esse conjunto;
def parse(str_bytes):
    result = []
    for i in str_bytes:
        result.append(i)
    return Rq(result)

# extendable output function, utilizando SHAKE-128
def XOF(p,i,j):
    digest = hashes.Hash(hashes.SHAKE128(int(32)))
    digest.update(p)
    digest.update(bytes(i))
    digest.update(bytes(j))
    r = digest.finalize()
    return r

# pseudorandom function, utilizando SHAKE-256
def PRF(s,b):
    digest = hashes.Hash(hashes.SHAKE256(int(32)))
    digest.update(s)
    digest.update(bytes(b))
    r = digest.finalize()
    return r

# função de hash através de SHA3-512;
def G(d):
    digest = hashes.Hash(hashes.SHA512())
    digest.update(bytes(d))
    r = digest.finalize()
    return r

# recebe um polinómio como argumento e retorna um byte array;
def encode(poly):
    byt=b''
    aux=1
    countX=0
    for j in poly:
        if(j>255):
            aux=2
        if (j > 65025):
            aux = 3
        if (j > 16581375):
            aux = 4
        if (j > 4228250625):
            aux = 5
        byt = byt+ int((_Z(j))).to_bytes( aux, 'big')
        byt = byt +"/-n-/".encode()
        countX =countX +1
    return byt

# recebe um byte array e retorna o polinómio correspondente;
def decode(byt):
    listaCoef = []
    byteAux = b''
    listAux = []
    desc=0
    while desc <byt.__len__():
        if byt[desc] == 47 and byt[desc+1]==45 and byt[desc+2]==110 and byt[desc+3]==45 and byt[desc+4] == 47 :
            desc = desc+4
            listaCoef.append(int.from_bytes(byteAux, 'big'))
            byteAux = b''
        else:
            byteAux = byteAux + bytearray([int(_Z(byt[desc]))])
        desc = desc+1
    return listaCoef

# comprime um polinómio e retorna os bytes correspondentes;
def compress(polinomio):
    polinomioB= encode(polinomio)
    compress = gzip.compress(polinomioB)
    return compress

# descomprime os bytes e passa para polinómio
def decompress(compress):
    unpack = gzip.decompress(compress)
    return Rq(decode(unpack))

# calcula a transposta de uma matriz
def transposta(matrix):
    zipped_rows = zip(*matrix)
    transpose_matrix = [list(row) for row in zipped_rows]
    return transpose_matrix

# geração das chaves pública e secreta
def gerar_chaves():
    d = bytearray(os.urandom(32))
    p = G(d)[:32]
    teta = G(d)[-32:]
    N = 0
    A = [[ 0 for x in range(k-1)] for y in range(k-1)]
    for i in range(0,k-1):
        for j in range(0,k-1):
            A[i][j] =parse(XOF(p,i,j))
    s = []
    for i in range(0,k-1):
        s.append(parse(PRF(teta,N)))
        N = N + 1
    e = []
    for i in range(0,k-1):
        e.append(parse(PRF(teta,N)))
        N = N + 1
    s1 = Rq(T.ntt(s[0]))
    e1 = Rq(T.ntt(e[0]))
    t = A[0][0].lift() * s1.lift() + e1.lift()
    pk = encode(t) + p
    sk = encode(s1)
    return pk, sk
  
# cifragem de uma mensagem
def cifragem(pk, m, coins):
    N = 0
    t2 = pk[:len(pk)-32]
    t= decode(t2)
    p = pk[-32:]
    A = [[ 0 for x in range(k-1)] for y in range(k-1)]
    for i in range(0,k-1):
        for j in range(0,k-1):
            A[i][j] =parse(XOF(p,i,j))
    AT = transposta(A)
    r = []
    for i in range(0,k-1):
        r.append(parse((PRF(bytearray(r),bytearray([N])))))
        N = N + 1
    e1 = []
    for i in range(0,k-1):
        e1.append(parse(PRF(bytearray(r[i]),bytearray([N]))))
        N = N + 1
    e2 = parse(PRF(bytearray(r[0].list()),N))
    r1= Rq(T.ntt(r[0]))
    u= Rq(T.ntt_inv(A[0][0].lift()*r1.lift()))+e1[0]
    v = Rq(T.ntt(Rq(t).lift() * r1.lift())) + e2 + decompress(m)
    c1 = compress(u)
    c2 = compress(v)
    c = c1 + c2
    return c
    
# decifragem do criptograma
def decifragem(sk, ciphertext):
    u = decompress(ciphertext[:tamanho(ciphertext,1)])
    v = decompress(ciphertext[-tamanho(ciphertext,2):])
    s1 = Rq(decode(sk))
    m = compress(v.lift() - (T.ntt_inv(s1.lift()*Rq(T.ntt(u)).lift())))
    return m
    

De seguida são apresentados os resultados obtidos com recurso às funções anteriores. Neste caso, estamos a considerar uma mensagem fixa.
</br>
Note-se que houve uma dificuldade acrescida nesta implementação pelo que, deparamos-nos com alguns erros não identificados que impossibilitam o correto funcionamento do programa.

In [4]:
pk, sk = gerar_chaves()

m = Rq([1, 0, 1, 1, 1, 1, 1, 1, 0, 1, 1, 0, 1, 1, 1, 0, 0, 0, 0, 1, 1, 0, 1, 1, 0, 1, 1, 0, 0, 1, 1, 1, 1, 1, 1, 1, 0, 0, 1, 0, 1, 1, 1, 1, 1,
            0, 1, 1, 0, 1, 0, 0, 1, 0, 1, 1, 1, 1, 1, 1, 1, 1, 0, 1, 1, 0, 0, 1, 0, 0, 1, 1, 1, 1, 1, 1, 0, 1, 0, 1, 0, 1, 1, 0, 1, 0, 1, 0, 1, 1,
            1, 0, 1, 1, 1, 1, 1, 1, 0, 1, 1, 0, 1, 1, 0, 1, 1, 0, 1, 0, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 0, 1,
            1, 0, 1, 0, 1, 0, 1, 0, 1, 1, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 1, 1, 0, 1, 1, 0, 1, 1, 0, 1, 1, 1, 1, 1, 1, 1, 1,
            1, 1, 1, 1, 1, 0, 0, 1, 1, 1, 1, 1, 0, 1, 0, 1, 0, 1, 1, 1, 0, 1, 1, 1])
print("Mensagem = ", compress(m), "\n")
coins = bytearray(os.urandom(32))
ciphertext = cifragem(pk, compress(m),coins)
print("Texto cifrado = ", ciphertext, "\n")
texto = decifragem(sk, ciphertext)
print("Texto limpo = ", texto)


Mensagem =  b'\x1f\x8b\x08\x00#]\x99`\x02\xffc\xd4\xd7\xcd\xd3\xd5g\x00\x93\x8cD\x90\x0cD\x88 \x8bc\x92\xa4\x9a\xc6@\xa2\x0bq\xe9b\xa0\xd8w\xe4\x99\xc9H\x96\x1f\x19(\x88\x17\x06\x12}DL<R+m\x10\xef\x1eJH\xda\x99\xc3@AH\x92\xe7Z\x06\xbcy\x8a\x91J\xf9\x8b\x91\xaa$\x03Y9\x8e\x92\xd4\xc80J\x92E\x02\x00\xbb\xcfd]\x00\x06\x00\x00' 

Texto cifrado =  b'\x1f\x8b\x08\x00#]\x99`\x02\xff5VyP\xd5U\x14\x86\xb7\xf1x,\x8f\xc7\xf6\x08c\x93MB V\xc5\xd4\x80bqiH6\x85,@\t#\x96\x02e3\x98!\x1d\x10\x11\x06\x90M\x82\x80\x0c\x02\t\x97\xd8T\x02\xc2$\r4\x91@\x86Mx(\x08\xa5 B\x0e\x9bh3\xbf\xf3\xbd\xbf\xde7\xe7\xde{\xcew\xbe\xf3\xfd\xee}l\x8b\xf1T+\x8b(\x0b+\x19AZ\xe5/\x84TS78\x12\x923\xd9:\xca \x8e\xce7\x89\x14\xe2\x7f\xf8C\'!\xf9\x18\xee\xbf\x84D\x9a\xde:\x84\x14\xcd\xedB\x19\xc4\x16\x9b, \xef\xcc\x84\x88\x90\xda\xdd\x83\x7f1\xc8x\x0f\xf2+\x9d\xe8\xa5\xb4<\xe1\xca\x1c\x85\x94\xdf\x8cE \xff\x9ap\r\x842\xaa=\x18\xc4\xf5s3B\xae\xfe\xacV\x06\xe9\x89\x0e1\xbf\x85\x93\xf9\xc4To-\x93\x01\xb2\x92\xee\xff@\xaa\x7f\x0e\xf5

## Kyber CCAKEM

A segunda implementação consistiu no desenvolvimento de funções que permitissem uma segurança IND-CCA, ou seja, segurança contra ataques *Chosen Ciphertext Attacks*.
<br/>
Tal como anteriormente, tornou-se necessário, numa primeira fase, a implementação de funções auxiliares. São utilizadas algumas das funções criadas previamente mas com a adição de novas funções que possibilitam a implementação com KEM. Estas são as seguintes:

- ***H***: função de *hash* que recorre ao *SHA3-256*;

- ***KDF***: função do tipo *key-derivation function* que utiliza *SHAKE-256*.

Como funções principais temos:

- ***gerar_chaves\_KEM***: tem como objetivo a criação das chaves pública e secreta que vão ser importantes na cifragem e decifragem respetivamente;

- ***cifragem\_KEM***: recebe como *input* a chave pública, calcula o *hash* de um *m* e ciframos este de modo a obter o encapsulamento. Retorna o criptograma e a chave partilhada. Utiliza como recurso as funções da implementação anterior;

- ***decifragem\_KEM***: recebe como argumentos o criptograma e a chave secreta e, após uma séria de cálculos, retorna a chave partilhada caso não ocorra erros.

In [5]:
# função de hash com recurso a SHA256
def H(pk):
    digest = hashes.Hash(hashes.SHA256())
    digest.update(pk)
    r = digest.finalize()
    return r

# key derivation function com SHAKE256
def KDF(b):
    digest = hashes.Hash(hashes.SHAKE256(int(32)))
    digest.update(b)
    r = digest.finalize()
    return r

# geração da chaves pública e secreta
def gerar_chaves_KEM():
    z = bytearray(os.urandom(32))
    pk, sk1 = gerar_chaves()
    sk = sk1 + pk + H(pk) + z
    return pk, sk

# cifraagem e encapsulamento do m
# retona o resultado da cifragem e a chave partilhada(k)
def cifragem_KEM(pk):
    m = bytearray(os.urandom(32))
    m = H(m)
    k1 = G(m + H(pk))[:32]
    r =  G(m + H(pk))[-32:]
    c = cifragem(pk, compress(m), r)
    k = KDF(k1 + H(c))
    return c, k

# decifragem e obtenção da chave partilhada
def decifragem_KEM(c, sk):
    pk = sk + bytearray.fromhex('{:0192x}'.format(12*k*(n//8)))
    h = sk + bytearray.fromhex('{:0192x}'.format(24*k*(n//8))) + bytearray(os.urandom(32))
    z = sk + bytearray.fromhex('{:0192x}'.format(24*k*(n//8))) + bytearray(os.urandom(64))
    m1 = decifragem(sk, c)
    k1 = G(m1+h)[:32]
    r1 = G(m1+h)[-32:]
    c1 = cifragem(pk,m1,r1)
    if c==c1:
        return KDF(k1+H(c))
    else:
        return KDF(z + H(c))

De seguida são apresentados os resultados obtidos com recurso às funções anteriores. 

In [6]:
pk, sk = gerar_chaves_KEM()
c, k2 = cifragem_KEM(pk)
print("Criptograma = ", c, "\n")
shared_key = decifragem_KEM(c,sk)
print("Shared Key = ", shared_key)

Criptograma =  b'\x1f\x8b\x08\x00$]\x99`\x02\xff5VyP\x94u\x18\x86\xbd\xf8v\x81oq\x17\x876\x0eS \x8ea\xe3\x8aC9\x86\xa2\xc4D\xb2\xa9\xe1\x98\x98B\xb0H\x94(\x10E\x16DH\x92\x0c2\x12GNK`\x9dI\x0cL\x84 D49\xc4\xc0\x03%\x12\x05\x16\x87c\xc0\x00\x95s8\x84f\xf6}\xbe\xbf\xf6\x99\xdf\xef{\xaf\xe7y\xdf\xf7\xb7\xbc\x05\x8b#\x8e\xca8\xa5\xa3\x8et\xa7\x897!6J\xddAH\xdc\xd39A\xc8\xc0\xdf&\x94\x10\x93|=\x9e\x90l\xd9I\x08[\x8b\xf8\x93\x84\xe4\x9a\xc9\x11\xdc\x16*ja\xf1\xb7s\xaf\x16-}>\x8a;\x8d\xcf%B\x86O\x1b\xdf"d4\x184\x0bo\xf9\x9e\xc7\xb5H7l\xe0G-(\x9e\xd7h\x7f\x05\x9a\x88\x0cx\x18JN\x02\xb2d\x7f\xd1"^\xcdt\x0f\\\x8d\xff\xb5\x19\xee;\x02\xfd\x91D\xb6F\x87\x90\xfe\xfe[wP(\xef\xd7j\n\xf4\xac\xf2"\x0c\x12\x9b,`\xe0\xdb5\x833\xdbG\xe7P\xdd\xce\x8c\x9f\x10"D\xe7\x06\xceL7QrBO\xeb\n:Z\xd7=^\t\xd3}i(T./\x03\x952\xdf\xb3J2\xc8\xf56\xc0g\x05j;B\xa2\xe9$]-\xe2?\x9e$o\xfc\xea\xb6\x8dP#r|\t\xce\xd6\xe6\\\xc0\x95S+\x05\x10\xfa:\xb18\xaaK?\x86J[\xb2\xb6qtm?\x0b\xd3\xd9\x7f\x8b\xc8\xefj\x02\x03m-\xb7|G4\x1c*\xadGB\