$$
Белорусский\;государственный\; университет
$$
$$
Механико-математический\;факультет
$$
$$
Кафедра\;дифференциальных\;уравнений\; и\; системного\; анализа
$$
$ $

$$
 \Large\bf Математические\; основы\; защиты\; информации
$$

# Тема 3. Функции хеширования

$ $

доцент Чергинец Дмитрий Николаевич

# Функция хеширования
<font color='blue'>Хеш-функцией (hash function)</font> называется отображение $h:\mathcal{A^*}\rightarrow\mathcal B^n$ слов произвольной конечной длины над алфавитом $\mathcal{A}$ в слова **фиксированной длины $\bf n$** над алфавитом $\mathcal{B}.$

Как правило $\mathcal{A}=\mathcal{B}=\{0,1\}.$

Значение функции $h(m)$ называется <font color='blue'>хешем</font>, <font color='blue'>хеш-кодом</font>, <font color='blue'>хеш-значением</font> или <font color='blue'>дайджестом</font> сообщения $m.$ 


Сообщения $m_1$ и $m_2$ называются <font color='blue'>коллизиями</font> (colliding), если
они имеют одинаковые дайджесты $h(m_1)=h(m_2).$

## Криптографические функции хеширования
Хеш-функция $h:X\rightarrow Y$ называется криптографической, если не существует полиномиальных алгоритмов решения следующих задач.

**1. Восстановление прообраза**  
По заданному $y\in h(X)$ найти такой $x\in X,$ что $$h(x)=y.$$
 
**2. Нахождение второго прообраза**   
 Для данного $x_1\in X$       найти такой $x_2\in X,$ $x_2\neq x_1,$ что  $$h(x_1)=h(x_2).$$

**3. Нахождение коллизий**  
 Найти такие $x_1,x_2\in X,$ что     $x_1\neq x_2$ и $h(x_1)=h(x_2).$

## Функция hash в python
В python есть встроенная функция hash

In [1]:
print(hash('a'))
print(hash('KM'))

-6955808404130074611
245628843807239283


In [2]:
print(hash(12))
print(hash(-12))

12
-12


In [3]:
i = 2**61 - 2
print('hash(',i,') =',hash(i))
print('hash(',i + 1,') =',hash(i + 1))

hash( 2305843009213693950 ) = 2305843009213693950
hash( 2305843009213693951 ) = 0


## <font color='red'>Задание 1.</font>
Найти три целых числа, которые являются коллизиями для функции `hash`.

Для целых чисел у хеш-функции есть период равный $i = 2^{61} - 1$.

In [4]:
hash(0) == hash(i + 1) == hash(2*i + 2)

True

# Применение функций хеширования
## Контроль целостности данных   
 Вместе с данными передается их хеш-значение
 $$
   (message, Hash(message)).
 $$
 При получении данных вычисляется хеш, если вычисленный хеш совпадает с хешем, переданным с данными, то данные скорее всего переданы без ошибок.
  
   Например, такая проверка используется в торрентах. 



##  Имитовставка
**MAC (message authentication code)**  
<font color='blue'>Имитовставка</font> это специальный набор символов, который добавляется к сообщению и предназначен для обеспечения его целостности и аутентификации источника данных. 

Алгоритм вычисления имитовставки использует симметричную криптосистему. 

Криптостойкость имитовставки основана на использовании секретного ключа, известного только отправителю и получателю.

**HMAC (hash-based message authentication code)**  
HMAC - имитовставка, в которой вместо симметричной криптосистемы используется хеш-функция
$$
  (message, Hash(message\;||\;key))
$$  


Использование функции хеширования связано с тем, что она как правило работает быстрее симметричной криптосистемы.

HMAC(key, msg, digestmod):

- msg - message, пересылаемое сообщение;

- key - секретный ключ, известный только отправителю и получателю сообщения;

- digestmod - название функции хеширования. 
 

### Хранение данных

Хеш-таблица - это структура данных, предназначенная для хранения   информации. 
    
Перед тем как поместить информацию $m$ в хеш-таблицу,     вычисляется индекс $i:=h(m),$ являющийся значением   хеш-функции $h,$ и информация $m$ помещается в ячейку таблицы     с индексом $i$.
    
Для хеш-таблиц реализованы три операции:  
- добавление, 
- поиск, 
- удаление данных.

<font color='red'>В Python  ключами в словарях могут быть только хешируемые объекты.</font>

In [5]:
dic = {1:2, (1,2):[2,3], 'sda':12, [1]:1}

TypeError: unhashable type: 'list'

### Хранение паролей
 
При регистрации пользователя на сервере вместо того чтобы хранить в базе данных сервера пароль, хранят хеш-значение пароля. В этом случае при попадании базы данных к злоумышленнику он не сможет пройти аутентификацию на сервере, так как не будет знать пароль, а будет знать лишь дайджест пароля.

Но и на дайждест пароля есть атаки:  
- Brute Force Attack;  
- Dictionary Attack;  
- Lookup Tables (The general idea is to pre-compute the hashes);  
- Rainbow Tables (техника уменьшения размеров Lookup Tables).  

Добавление соли:  
1. Генерируем случайные биты  Salt;  
2. Храним на сервере:      
  ID или login;  
  Hash(Password || Salt);  
  Salt.  
3. Использование KDF (про KDF написано на следующем слайде).

## Функция формирования ключа 
**KDF(key derivation function)**   
Функция формирования ключа это функция, формирующая один или несколько секретных ключей на основе секретного значения (главный ключ, пароль или парольная фраза) с помощью псевдослучайной функции.

Часто в качестве псевдослучайной функции для формирования ключа используются криптографические хеш-функции.

**PBKDF2 (password-based key derivation function)**  
PBKDF2 это стандарт формирования ключа на основе пароля.

`pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None)`:
 - `hash_name` - название функции хеширования;  
 - `password` - пароль;
 - `salt` - соль;
 - `iterations` - количество итераций, необходимо для замедления скорости работы;
 - `dklen` - длина формируемого ключа, если `dklen = None`, то длина ключа равна длине дайджеста хеш-функции.

### Генерация случайных параметров

  В функциях, генерирующих случайные параметры, необходимо исключить возможность создания параметров специальным образом.
 
 Для этого параметр создают по формуле:
    $$
      p:=h(seed),
    $$
где $seed$ -- случайная величина, которую публикуют вместе с параметром:
$(p, seed).$

### Формирование цепочки блоков

![blockchain](images/block.jpg)


### Формирование адреса в криптовалютах

Токены в криптовалютах переводят на так называемый адрес
$$
  address:=h(key_{public}).
$$

В этом случае злоумышленник не знает не только секретный, но даже открытый ключ.


## Merkle–Damgård construction

Структура Меркля-Дамгора -- метод построения криптографических хеш-функций, 1979 год.

1. Приведение сообщения $m$ к блочному виду
$$       m\rightarrow M=(M_1, M_2, \dots, M_{L(m)}),$$
$M_k$ -- блоки одинаковой длины.

2. Применение функции сжатия
  $$h_k:=f(h_{k-1},M_k),\qquad  k=1, \dots, L,$$
  $h_0$ --  константа.  
3. Результат алгоритма $H(m):=h_L.$

## MD5

MD5 (англ. Message Digest 5) — 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института (Massachusetts Institute of Technology, MIT) в 1991 году.

128 - длина дайджеста.

512 - длина блока. 


2004, 2005, Ван Сяоюнь,  Юй Хунбо. Нашли алгоритм, который вычисляет двухблочные коллизии.


2006,  Властимил Клима, улучшил алгоритм, «туннелирование».

2012, Марк Стивенс, одноблочные коллизии.

## SHA-1

Secure Hash Algorithm 1 — алгоритм криптографического хеширования. 

160 - длина дайджеста.

512 - длина блока. 

 Разработчики:	NSA (Агентство национальной безопасности) совместно с NIST (Национальный институт стандартов и технологий США), 1995.

**Атака SHAttered**  
23 февраля 2017 года специалисты из Google и CWI объявили о практическом взломе алгоритма, опубликовав 2 PDF-файла с одинаковым хешем SHA-1. 

## SHA-2
SHA-2 (англ. Secure Hash Algorithm  Version 2) — семейство криптографических алгоритмов, включающее в себя алгоритмы SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/256 и SHA-512/224.
  
512 - длина блока (SHA‑256, SHA‑224, длина слова 32).  

1024 - длина блока (SHA‑512, SHA‑384, SHA‑512/256, SHA‑512/224, длина слова 64).  
  
  Разработчики:	NSA (Агентство национальной безопасности) совместно с NIST (Национальный институт стандартов и технологий США).
  
     
  2002, 2004, 2012.
     

## SHA-3

SHA-3 (Keccak — произносится как «кечак») — алгоритм хеширования переменной разрядности, разработанный группой авторов во главе с Йоаном Дайменом;
		
2007 -- объявлен конкурс;

 2008 -- создан;
		
  2015 -- утвержден;

 Sponge function ("криптографическая губка").
		

## Криптографические хеш-функции в Python

В Python криптографические функции хеширования собраны в библиотеке `hashlib`. Имена хеш-функций, которые гарантированно поддерживаются этим модулем на всех платформах, хранятся в атрибуте `hashlib.algorithms_guaranteed`

In [6]:
import hashlib
print(hashlib.algorithms_guaranteed)

{'sha3_512', 'blake2b', 'sha3_224', 'sha3_256', 'sha384', 'shake_256', 'sha1', 'md5', 'sha512', 'sha224', 'blake2s', 'shake_128', 'sha256', 'sha3_384'}


`hashlib.algorithms_available`  - множество, содержащее имена хэш-алгоритмов, доступных в работающем интерпретаторе Python.

In [7]:
print(hashlib.algorithms_available)

{'md4', 'sha3_512', 'shake_256', 'sha3_256', 'sha512_256', 'sha3_224', 'sha512', 'whirlpool', 'mdc2', 'sha3_384', 'blake2b', 'sha1', 'md5', 'sha224', 'blake2s', 'ripemd160', 'sm3', 'sha512_224', 'sha384', 'md5-sha1', 'shake_128', 'sha256'}


## Вычисление дайджеста
Дайджест может выводиться в байтах или в шестнадцатеричной системе счисления

In [8]:
print('хеш в байтах = ',hashlib.sha3_256(b"KM").digest())
print('хеш в hex = ', hashlib.sha3_256(b"KM").hexdigest())

хеш в байтах =  b"p\xe0w<\xfa&\xeel\xd7\xe2\xed\x9c/\xb8r\x87(\xa6\xbdh'\xbe\x9e\xe2\xe0t\x7fg\xbc\x9f\xa9\\"
хеш в hex =  70e0773cfa26ee6cd7e2ed9c2fb8728728a6bd6827be9ee2e0747f67bc9fa95c


Функции хеширования работают с байтами, а не с текстом, поэтому дайджест текста зависит от того, как мы переведем текст в байты.

In [9]:
print(hashlib.sha3_256(bytes("KM",encoding='utf-8')).hexdigest())
print(hashlib.sha3_256(bytes("KM",encoding='utf-16')).hexdigest())

70e0773cfa26ee6cd7e2ed9c2fb8728728a6bd6827be9ee2e0747f67bc9fa95c
bf30cd3411704f88bc9480463ac41f4b4c4598c6528db978c416e810ddbf0521


## "Хеширование частями"
Если сообщение, дайджест которого нужно вычислить, не доступно целиком, то его можно отправлять на хеширование частями

In [10]:
part1 = b"Spartak"
part2 = b"Champion"
h = hashlib.sha1()
h.update(part1)
h.update(part2)
print(h.hexdigest())

0d3f42b61f28a2034d214bea47bf205ca57aec2e


In [11]:
hashlib.sha1(part1+part2).hexdigest()

'0d3f42b61f28a2034d214bea47bf205ca57aec2e'

## Длина блока и дайджеста 

In [12]:
h = hashlib.sha3_256()
h.digest_size

32

In [13]:
h.block_size

136

In [14]:
h.block_size*8

1088

In [15]:
h.name

'sha3_256'

## Формирование ключа
`pbkdf2_hmac(hash_name, password, salt, iterations, dklen=None)`:
 - `hash_name` - название функции хеширования;  
 - `password` - пароль;
 - `salt` - соль;
 - `iterations` - количество итераций, необходимо для замедления скорости работы;
 - `dklen` - длина формируемого ключа, если `dklen = None`, то длина ключа равна длине дайджеста хеш-функции.

In [16]:
dk = hashlib.pbkdf2_hmac('sha256', b'password', b'salt', 10**3)
print(len(dk))
dk.hex()

32


'632c2812e46d4604102ba7618e9d6d7d2f8128f6266b4a03264d2a0460b7dcb3'

In [17]:
import time
start_time = time.time()
dk = hashlib.pbkdf2_hmac('sha256', b'password', b'salt', 10**6)
print("--- %s seconds ---" % (time.time() - start_time))

--- 0.2912294864654541 seconds ---


# Моделирование SHA-3 на Python
## Перевод текста в биты
Мы будем моделировать SHA-3 согласно стандарту [FIPS PUB 202](https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.202.pdf "Ссылка на стандарт").
Однако, перевод текста в биты в стандарте не регламентирован. При переводе  байта в биты мы будем использовать порядок следования битов от младшего к старшему (little-endian) 

In [18]:
def ord2(alpha):
    bits = [int(i) for i in bin(ord(alpha))[2:]]
    bits = [0]*(8 - len(bits)) + bits  # добавляем необходимое количество нулей
    bits.reverse()
    return bits

def Text2Bits(text):
    bits = []
    for i in text:
        bits += ord2(i)
    return bits

print(ord2("K"))
print(Text2Bits("KM"))        

[1, 1, 0, 1, 0, 0, 1, 0]
[1, 1, 0, 1, 0, 0, 1, 0, 1, 0, 1, 1, 0, 0, 1, 0]


## SHA-3 как часть функции Keccak
В конкурсе на новый стандарт хеширования участвовала функция Keccak. Часть её режимов вошли в стандарт. Например, SHA3_256 определяется через функцию $Keccak(c,N,d)$
$$
  SHA3\_256(M) = Keccak(512,Text2Bits(M)+[0,1],256)
$$
Здесь  
$d =  256$ - `digest_size`, длина дайджеста;  
$c=512$ - параметр функции Sponge (The capacity of a sponge function);  
$N=Text2Bits(M)\; ||\; [0,1]$ - дополненное сообщение в битах.

In [19]:
def SHA3_256(M):
    return Keccak(512,Text2Bits(M)+[0,1],256)

## Функция Keccak
Функция $Keccak(c,N,d)$ задается при помощи функции Sponge (Губка)
$$
  Keccak(c,N,d)=Sponge(b-c,N,d)
$$ 
Здесь $b=1600= 25*64$ - параметр, равный длине переменной S (State) в алгоритме $Sponge.$

In [20]:
def Keccak(c,N,d):
    return Sponge(1600-c,N,d)

## Algorithm 9: pad10*1(r, m)  
*Input:* $r = b-c\in\mathbb{N}$ - block_size, количество бит сообщения $N,$ которые будут хешироваться за одну итерацию в функции $Sponge;$   
$\qquad m\in\mathbb{N}$ - длина хешируемого сообщения $N.$ 

*Output:* $P$ - список бит, которыми мы дополним $N,$ чтобы длина дополненного сообщения $N\;||\;P$ делилась на $r.$

1.  Let 
$$
  j = (– m – 2) \mod r.
$$
2.  Return 
  $$
    P = 1 \:|| \: 0^{j} \: || \: 1.
  $$  

In [21]:
def pad101(r, m):
    j = (-m-2) % r
    return [1] + [0]*j + [1]
pad101(10,15)

[1, 0, 0, 0, 1]

##  Algorithm 8: 𝐒𝐏𝐎𝐍𝐆𝐄(𝐫,𝐍,𝐝)
*Input:* $N$ - список бит, хешируемое сообщение;   
$\qquad d\in\mathbb{N}$ - длина дайджеста;  
$\qquad r\in\mathbb{N}$ - rate, block_size, количество бит $N$, используемых в одной итерации; $\;(r+c=b)$  
*Output:* $Z$ - список бит, дайджест сообщения $N,$ $len(Z)=d.$ 
![sponge](images/sponge.png)

## Merkle–Damgård construction $ $  VS $ $  sponge function

**Выжимание (squeezing)**  
Для всех функций SHA3 (SHA3-224, SHA3-256, SHA3-384, SHA3-512) справедливо неравенство
$$
  r<d
$$
поэтому процесс "выжимания" в  sponge function для функций SHA-3 по факту состоит лишь из одной итерации, как и в конструкции Меркля-Дамгора.

**Переменная c**   
У функции губки появилась переменная $c$, которая значительно увеличивает длину переменной состояния $S$ до $b=1600,$ что на практике значительно усложняет вычисление коллизий.

**Вывод**  
С точки зрения идеологии в функции губки не придумано ничего принципиально нового по сравнению с конструкцией Меркля-Дамгора, но за счет значительного увеличения длины переменной состояния $S$ до $b=1600$ бит построение специальных алгоритмов вычисления коллизий стало проблематичным, а метод грубой силы за счет большой длины $d$ дайджеста на данный момент также практически невозможен.

## Algorithm 8: $\bf SPONGE(r,N,d)$  
*Input:* $N$ - список бит, хешируемое сообщение;   
$\qquad d\in\mathbb{N}$ - длина дайджеста;  
$\qquad r\in\mathbb{N}$ - rate, количество бит $N$, используемых в одной итерации;  
*Output:* $Z$ - список бит, дайджест сообщения $N,$ $len(Z)=d.$ 

1.  Let $\;P = N || pad101(r, len(N))$. (Для того, чтобы за целое количество итераций обработать всё хешируемое сообщение).
2.  Let $\;n = len(P)/r.$
3.  Let $\;c = b - r.$
4.  Let $\;P_0, \dots, P_{n-1}\;$ be the unique sequence of strings of length $r$ such that 
$$
 P = P_0|| \dots || P_{n-1}.
$$ 
5.  Let $\;S = 0^b.$  
6.  For i from 0 to n-1, let $S = f (S ⊕ (P_i|| 0^c)).$  $\qquad(f=KECCAK_p(S))$    
7.  Let $\;Z=[]\;$ be the empty list.
8.  Let $\;Z = Z || Trunc_r (S).$
9.  If $\;d ≤ |Z|,\;$ then return $Trunc_d (Z);$ else continue.
10.  Let $\;S = f(S),\;$ and continue with Step 8.

In [22]:
def Sponge(r,N,d):
    P = N + pad101(r,len(N))
    n = len(P)//r
    c = b - r
    S =[0]*b
    for i in range(n):
        Pi = P[i*r:(i+1)*r]
        for j in range(r):
            S[j] = S[j]^Pi[j]
        S = KECCAK_p(S)
    Z = S[:r]
    while d>len(Z):
        S = KECCAK_p(S)
        Z = Z+S[:r]
    Z = Reverse(Z)    
    return Z[:d]

## little-endian
При переводе 8 бит в байт мы опять используем Порядок следования битов от младшего к старшему. Поэтому разбиваем список на подсписки по 8 бит и в каждом подсписке из 8 бит делаем реверс  

In [23]:
def Reverse(Z):
    n = len(Z)//8
    partition = [Z[i*8:(i+1)*8] for i in range(n)]
    out = []
    for i in range(n):
        partition[i].reverse()
        out += partition[i]
    return out
Reverse([1,1,1,1,0,0,0,0,1,1,0,0,1,1,1,1])

[0, 0, 0, 0, 1, 1, 1, 1, 1, 1, 1, 1, 0, 0, 1, 1]

## $\bf f=KECCAK_p(S)$
**Параметры функции $KECCAK_p(S)$**  

$l=6;$  
$b=1600$ - длина состояния $S;$  
$n_r=24$ - количество итераций в цикле алгоритма $KECCAK_p(S);$  
$w = 64$  - состояние $S$ состоит из 25 строк длины $w,$ алгоритм $SHA-3$ разрабатывался под 64-х разрядный процессор;

**Algorithm 7: $KECCAK_p(S)$**  
*Input:* $S$ - список из $b$ бит;  

*Output:* $S'$ - список из $b$ бит;  

1.  Convert $S$ into a state array $A$  

2.  For $\;round\;$ from $0$ to $23,$ let 
$$
  A = Rnd(A, round).
$$
3.  Convert $A$ into a string $S′$ of length b
4.  Return   $S′.$


In [24]:
def Rnd(A, round):
    return iota(chi(pi(rho(theta(A)))),round)

def KECCAK_p(𝑆):
    A = Transform1Dto3D(S)
    for round in range(24):
        A = Rnd(A,round)
    return Transform3Dto1D(A)

##  Переменная состояния S (State)
$S$ называется State, это список, состоящий из $b=1600$ бит;

$A$ - state array, трехмерный массив размерности $5\times 5\times 64.$

Мы будем представлять одномерный список $S$ в виде трехмерного массива $A$
$$
  A(x,y,z):=S(w(5y+x)+z),\qquad 0\leq x<5,\; 0\leq y<5,\; 0\leq z<64.
$$  

## Геометрическое представление
![slice](images/slice.png)

## Геометрическое представление
![lane](images/lane.png)

lane -- переулок.

In [25]:
l = 6 
b = 25*(2**l) 
w = 2**l
def Transform1Dto3D(S):
    A = [[[0]*w for _ in range(5)] for _ in range(5)]  # создали 3-мерный массив 5*5*64
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A[x][y][z] = S[w*(5*y + x)+z]  # заполняем массив битами
    return A

def Transform3Dto1D(A):
    S = [0]*(5*5*w)
    for x in range(5):
        for y in range(5):
            for z in range(w):
                S[w*(5*y + x)+z] = A[x][y][z]
    return S

In [26]:
import random
S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)
S == Transform3Dto1D(A)

True

## Algorithm 1: θ(A)  
*Input:* $A$ - state array  
*Output:* $A'$ - state array  

1. For all pairs (x, z) such that $0 ≤ x < 5$ and $0 ≤ z < w,$ let
$$
C[x, z] = A[x, 0, z] \oplus A[x, 1, z] \oplus A[x, 2, z] \oplus A[x, 3, z] \oplus A[x, 4, z].
$$
2. For all pairs (x, z) such that $0 ≤ x < 5$ and $0 ≤ z < w$ let 
$$
D[x, z] = C[(x-1) \mod 5, z] ⊕ C[(x+1) \mod 5, (z – 1) \mod w].
$$
3. For all triples $(x, y, z)$ such that $0 ≤ x < 5,$ $0 ≤ y < 5,$ and $0 ≤ z < w,$ let
$$
A′[x, y, z] = A[x, y, z] ⊕ D[x, z]. 
$$

Алгоритм $\theta(A)$ как-то преобразовывает 3-мерный массив $A$. 

In [27]:
def theta(A):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    C = [[0]*w for _ in range(5)]
    D = [[0]*w for _ in range(5)]
    for x in range(5):
        for z in range(w):
            C[x][z] = A[x][0][z]^A[x][1][z]^A[x][2][z]^A[x][3][z]^A[x][4][z] 
    for x in range(5):
        for z in range(w):
            D[x][z] = C[x-1][z] ^ C[(x+1)%5][z-1]
    for x in range(5):
        for y in range(5):
            for z in range(w):            
                A_out[x][y][z] = A[x][y][z] ^ D[x][z]
    return A_out

## Линейная функция
Пусть $X$ - векторное пространство над полем $K.$ Тогда функцию $f:X\rightarrow K$ называют <font color=blue>линейной</font>, если $\forall x,y\in X$ $\forall \alpha,\beta\in K$  справедливо равенство
$$
  f(\alpha x+\beta y)=\alpha f(x)+\beta f(y).
$$  
 
Булеву функцию $f(S)$ назовем <font color=blue>линейной</font>, если для любых двух векторов $S_1,$ $S_2\in\{0,1\}^b$  справедливо равенство
$$
f(S_1\oplus S_2)=f(S_1)\oplus f(S_2).
$$

## Линейная функция как функция от базисных векторов
Рассмотрим базис 
$$
e_0=[1,0,0,\dots,0,0]
$$
$$
e_1=[0,1,0,\dots,0,0]
$$
$$\vdots$$
$$
e_{b-1}=[0,0,0,\dots,0,1]
$$

Любой вектор $S\in\{0,1\}^b$ можно представить в виде
$$
  S = (S[0]\cdot e_0) \oplus(S[1]\cdot e_1)\oplus\dots\oplus(S[b-1]\cdot e_{b-1}),
$$
где умножение $\cdot=\wedge$ и константа $S[i]\in\{0,1\}$ умножается на все координы вектора $e_i$ по аналогии с умножением вектора на скаляр.

Подействуем на $S$ линейной функцией $f$
$$
  f(S)=(S[0]\cdot f( e_0)) \oplus (S[1]\cdot f(e_1))\oplus\dots\oplus(S[b-1]\cdot f(e_{b-1}))
$$
Оказывается, что линейная функция однозначно задается своими значениями $f(e_i)$ на базисных векторах!

Нетрудно проверить, что $\theta(A)$ - линейная. Определим её через значения на базисных векторах.
Пусть
$$
thetaBasis:\{0,1\}^b\rightarrow\{0,1\}^b
$$

In [28]:
e = [0]*b
thetae = [0]*b
for i in range(b):
    e[i] = [0]*b
    e[i][i] = 1  # создаём матрицу, состоящую из b базисных векторов 
    thetae[i] = Transform3Dto1D(theta(Transform1Dto3D(e[i])))

# в thetae[i] хранится преобразованное при помощи функции thete(A) значение базисного вектора

def XOR1D(S1,S2):
    b = len(S1)
    S = [0]*b 
    for x in range(b):
        S[x] = S1[x] ^ S2[x]
    return S

# XOR1D(S1,S2) возвращает список, составленную из перемноженных битов S1[i] ^ S2[i]

def thetaBasis(S):
    S_out = [0]*b 
    for x in range(b):
        if S[x] == 1:
            S_out = XOR1D(S_out, thetae[x])            
    return S_out

S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)
print(theta(A) == Transform1Dto3D(thetaBasis(S)))

True


**Является ли функция theta(A) сюръекцией и как вычислить $theta^{-1}(A)$?**  
Будем решать уравнение 
$$
  thetaBasis(X) = S
$$
Которое эквивалентно системе
$$
\begin{pmatrix} f(e_0) & f(e_1) & \dots & f(e_{b-1})\end{pmatrix}\begin{pmatrix} X[0] \\ X[1] \\ \vdots \\ X[b-1]\end{pmatrix}=\begin{pmatrix} A[0] \\ S[1] \\ \vdots \\ S[b-1]\end{pmatrix},
$$
где $M=\begin{pmatrix} f(e_0) & f(e_1) & \dots & f(e_{b-1})\end{pmatrix}$ - матрица $b\times b,$ столбцами которой являются вектора $f(e_i).$

Для того чтобы система имела решение для всех $S$ необходимо, чтобы матрица $M$ имела определитель, отличный от нуля.

## Вычисление определителя
Наша задача посчитать определитель матрицы $M,$ состоящей из 0 и 1. Можно считать, что элементы матрицы принадлежат полю $\mathbb{Z}_2$ и при вычислении определителя операции сложения и умножения тоже стоит брать из данного поля. 

Проблема в том, что функция `sympy.det` не умеет считать определитель в поле $\mathbb{Z}_2,$  поэтому можно вычислить определитель матрицы $M$ в кольце $\mathbb{Z},$ а потом от результата вычислить остаток от деления на 2. Но матрица $M$ слишком большая и `sympy.det` не может посчитать определитель. Или я просто не дождался ответа. Даже `print` загибается от матрицы $M$

In [29]:
import sympy
import time
start_time = time.time()
M = sympy.Matrix([thetae[i] for i in range(b)])
print("--- %s seconds ---" % (time.time() - start_time))
print(M)

--- 2.8332927227020264 seconds ---


IOPub data rate exceeded.
The notebook server will temporarily stop sending output
to the client in order to avoid crashing it.
To change this limit, set the config variable
`--NotebookApp.iopub_data_rate_limit`.

Current values:
NotebookApp.iopub_data_rate_limit=1000000.0 (bytes/sec)
NotebookApp.rate_limit_window=3.0 (secs)



## Приведение матрицы к диагональному виду
Попытаемся привести матрицу $M$ к диагональной матрице в поле $\mathbb{Z}_2,$ если это не удастся, то тогда это будет означать, что $det(M)=0,$ иначе $det(M)=1.$

In [30]:
def diag(M):
    b = len(M)
    for i in range(b):
        j=i
        while M[j][i] == 0:
            j+=1
            if j>=b:
                return ('не приводится', i, M)
        M[i],M[j] = M[j],M[i]    
        for k in range(i):
            if M[k][i] == 1:
                M[k]=XOR1D(M[k],M[j])
        for k in range(i+1,b):
            if M[k][i] == 1:
                M[k]=XOR1D(M[k],M[j])        
    return M
m = [[1,1],[1,1]]
print(diag(m))
print(sympy.Matrix(m).det())
m = [[1,1,0],[0,1,0],[1,1,1]]
print(diag(m))
print(sympy.Matrix(m).det())

('не приводится', 1, [[1, 1], [0, 0]])
0
[[1, 0, 0], [0, 1, 0], [0, 0, 1]]
1


## Приведение к диагональному виду матрицы M
На маленьких матрицах код работает, применим его к матрице $M$

In [31]:
def diag(M):
    b = len(M)
    for i in range(b):
        j=i
        while M[j][i] == 0:
            j+=1
            if j>=b:
                return ('не приводится', i)
        M[i],M[j] = M[j],M[i]    
        for k in range(i):
            if M[k][i] == 1:
                M[k] = XOR1D(M[k],M[j])
        for k in range(i+1,b):
            if M[k][i] == 1:
                M[k] = XOR1D(M[k],M[j])        
    return ('приводится',i)   
M = [thetae[i] for i in range(b)]
start_time = time.time()
print(diag(M))
print("--- %s seconds ---" % (time.time() - start_time))

('не приводится', 448)
--- 25.163520336151123 seconds ---


## <font color='red'>Задание 2.</font>
Является ли функция $\theta(A)$ линейной?

Функцию $f:X\rightarrow K$ называют <font color=blue>линейной</font>, если $\forall x,y\in X$ $\forall \alpha,\beta\in K$  справедливо равенство
$$
  f(\alpha x+\beta y)=\alpha f(x)+\beta f(y).
$$ 
Так как установить линейность для всех значений $x, y \in X$ и для всех $\alpha,\beta \in K$ невозможно, проверим выполнение свойства для случайных значений $x, y$ и для случайных $\alpha,\beta$.

Используя представленные выше функции для преобразования строк в 3-мерные массивы (*Transform1Dto3D*) и для обратного преобразования в 1-мерные (*Transform3Dto1D*), а также функцию *XOR1D*, получим равенство, доказывающее то, что функция является линейной.

In [32]:
alpha = random.randint(1,100)
beta = random.randint(1,100)

x = [random.randint(0,1) for _ in range(b)]
y = [random.randint(0,1) for _ in range(b)]

alpha_x = [alpha * elem for elem in x]
beta_y = [beta * elem for elem in y]

arr_alpha_beta = Transform3Dto1D(theta(Transform1Dto3D(XOR1D(alpha_x,beta_y))))

arr_alpha = [alpha * elem for elem in Transform3Dto1D(theta(Transform1Dto3D(x)))]
arr_beta = [beta * elem for elem in Transform3Dto1D(theta(Transform1Dto3D(y)))]

arr = XOR1D(arr_alpha, arr_beta)

arr == arr_alpha_beta

True

## <font color='red'>Задание 3*.</font>
Найти коллизии функции $\theta(A).$ Первому решившему +1 балл к экзаменационной оценке. 

## <font color='red'>Задание 4.</font>

Рассмотрим две функции `theta(A)` и `theta2(A)`, код которых указан ниже. Они отличаются тем, что в `theta(A)` результат записывается в новую переменную $A\_out,$ а в функции `theta2(A)` результат записывается во входящую переменную $A.$ Объяснить, почему  
`print(theta(A) == theta2(A))`  
`True`  
но если поменять очередность функций, то результат сравнения иной  
`print(theta2(A) == theta(A))`  
`False`




In [33]:
def theta(A):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    C = [[0]*w for _ in range(5)]
    D = [[0]*w for _ in range(5)]
    for x in range(5):
        for z in range(w):
            C[x][z] = A[x][0][z]^A[x][1][z]^A[x][2][z]^A[x][3][z]^A[x][4][z] 
    for x in range(5):
        for z in range(w):
            D[x][z] = C[x-1][z] ^ C[(x+1)%5][z-1]
    for x in range(5):
        for y in range(5):
            for z in range(w):            
                A_out[x][y][z] = A[x][y][z] ^ D[x][z]
    return A_out

def theta2(A):
    C = [[0]*w for _ in range(5)]
    D = [[0]*w for _ in range(5)]
    for x in range(5):
        for z in range(w):
            C[x][z] = A[x][0][z]^A[x][1][z]^A[x][2][z]^A[x][3][z]^A[x][4][z] 
    for x in range(5):
        for z in range(w):
            D[x][z] = C[x-1][z] ^ C[(x+1)%5][z-1]
    for x in range(5):
        for y in range(5):
            for z in range(w):            
                A[x][y][z] = A[x][y][z] ^ D[x][z]
    return A

S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)

print(theta(A) == theta2(A))
print(theta2(A) == theta(A))

True
False


Для объяснения удобно привести пример.

In [34]:
array = [0,0]

def th(array):
    array_copy = array.copy()
    array_copy[0] += 1
    return array_copy

def th2(array):
    array[0] += 1
    return array

array_1 = th(array)  # array == [0,0], array_1 == [1,0]
array_2 = th2(array)  # array == array_1 == array_2 == [1,0]

Таким образом после первого применения функций будем иметь следующее.

In [35]:
array_1 == array_2

True

В дальнейшем, так как массив не переопределялся, работаем с преобразованным массивом, равным $array = [1,0]$.

In [36]:
array_3 = th2(array)  # array == array_3 == [2,0]
array_4 = th(array)  # array == [2,0], array_4 == [3,0]

array_3 == array_4

False

Из приведённого выше примера видна зависимость от порядка применения функций и значения переменной, объясняющая результат, представленный в условии задания.

## Algorithm 2: ρ(A)  
*Input:* $A$ - state array  
*Output:* $A'$ - state array  

1.  For all z such that $0 ≤ z < w,$ let 
$$
  A′ [0, 0, z] = A[0, 0, z].
$$  
2.  Let 
$$(x, y) = (1, 0).$$
3.   For t from 0 to 23:  
$\qquad a.$  for all z such that $0 ≤ z < w,$ let 
$$
  A′[x, y, z] =  A[x, y, (z – (t + 1)(t + 2)/2) \mod w];
$$  
$\qquad b.$  let 
$$
  (x, y) = (y, (2x + 3y) \mod 5).
$$  
4. Return $A′.$

Функция $\rho(A)$ каким-то образом преобразовывает 3-мерный массив.

In [37]:
def rho(A_in):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for z in range(w):
        A_out[0][0][z] = A_in[0][0][z]
    (x,y) = (1,0)
    for t in range(24):
        for z in range(w):
            A_out[x][y][z] = A_in[x][y][(z - (t+1)*(t+2)//2) % w]
        (x, y) = (y, (2*x + 3*y) % 5)
    return A_out

Посмотрим, как изменяется в Алгоритме 2 переменные $(x,y)$ при изменении t от 0 до 23

In [38]:
(x,y) = (1,0)
xy = [(x,y)]
for t in range(24):
    (x, y) = (y, (2*x + 3*y) % 5)
    xy.append((x,y))
#print(len(set(xy)))
print(xy)

[(1, 0), (0, 2), (2, 1), (1, 2), (2, 3), (3, 3), (3, 0), (0, 1), (1, 3), (3, 1), (1, 4), (4, 4), (4, 0), (0, 3), (3, 4), (4, 3), (3, 2), (2, 2), (2, 0), (0, 4), (4, 2), (2, 4), (4, 1), (1, 1), (1, 0)]


Мы получили 24 различных комбинации вида 
$$(x,y),\quad 0\leq x,y<5.
$$
Всего таких комбинаций $5\times 5 = 25$ штук. Не хватает лишь комбинации $(0,0).$

В алгоритме $\rho(A)$ происходит перестановка элементов массива A по правилу  
`A'[x][y][z] = A[x][y][(z - (t+1)*(t+2) // 2) % w]`  

Найдем для каждой пары $(x,y)$ величину
$$
  ((t+1)*(t+2) / 2) \mod w
$$
и запишем её в матрицу rhoMatrix

In [39]:
rhoMatrix = [[0]*5 for _ in range(5)]
(x,y) = (1,0)
for t in range(24):
    rhoMatrix[x][y] = (t+1)*(t+2)//2 % w 
    (x, y) = (y, (2*x + 3*y) % 5)

rhoMatrix

[[0, 36, 3, 41, 18],
 [1, 44, 10, 45, 2],
 [62, 6, 43, 15, 61],
 [28, 55, 25, 21, 56],
 [27, 20, 39, 8, 14]]

Теперь алгоритм $\rho(A)$ можно переписать в виде
## Algorithm 2: ρ(A)  
*Input:* $A$ - state array  
*Output:* $A'$ - state array  

1.  For all triples $(x, y, z)$ such that $0 ≤ x < 5,$ $0 ≤ y < 5,$ and $0 ≤ z < w,$ let
$$
  A′[x, y, z]= A[x, y, z -rhoMatrix[x,y]].
$$  
2.  Return $A′.$ 

В каждом 
$$
  Lane(x,y):=A(x,y,0)||A(x,y,1)||\dots||A(x,y,w-1)
$$
происходит циклический сдвиг элементов на на величину $rhoMatrix[x,y].$

In [40]:
S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)

def rho2(A_in):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A_in[x][y][z - rhoMatrix[x][y]]

    return A_out
rho2(A) == rho(A)

True

In [41]:
import time
start_time = time.time()
for _ in range(3000):
    rho(A) 
print("--- %s seconds ---" % (time.time() - start_time))
start_time = time.time()
for _ in range(3000):
    rho2(A)
print("--- %s seconds ---" % (time.time() - start_time))

--- 0.824211597442627 seconds ---
--- 0.602708101272583 seconds ---


Видим, что с использованием вычисленной заранее функции rhoMatrix алгоритм работает быстрее

## Шифр перестановки
Шифр перестано́вки — это метод симметричного шифрования, в котором элементы исходного открытого текста меняют местами.

In [42]:
Message = 'message'
print('Message = ', Message)

from random import shuffle
key = list(range(len(Message)))
shuffle(key)  # перемешивание 
print('key = ', key)

Chiper = ''
for i in key:
    Chiper += Message[i]
print('Chiper = ',Chiper)

key.sort()  # в этом примере для дешифровки достаточно восстановить порядок следования букв
wort = ''

for i in key:
    wort += Message[i]
    
print(f'Wort = {wort}')

Message =  message
key =  [6, 1, 0, 5, 4, 2, 3]
Chiper =  eemgass
Wort = message


## <font color='red'>Задание 5.</font>

Является ли $\;rho(A)\;$ шифром перестановки? Как расшифровать шифротекст $\;Chiper$
$$
  Chiper = rho(A)?
$$  

$rho(A)$ является шифром перестановки, поскольку элементы исходного открытого 3-мерного массива меняются местами по определённому закону.

Рассмотрим наглядный пример работы функции $rho2(A)$, а именно в тот момент, когда $x = 0, y = 1, z = 0, ..., 63$. Получим, что элементы в строке $z$ меняются следующим образом: $0 \rightarrow (-36), ..., 63 \rightarrow 27$. Для того, чтобы расшифровать сообщение необходимо изменить порядок шествия элементов. То есть в выходной строке z_out (-36)-й элемент будет взят с 0-й позиции в зашифрованной строке $z$. Действуя так для всех строк $z \in [0,63]$, получим исходную (расшифрованную) строку. 

Начальное сообщение получается соответствующими перестановками для всех $x, y \in [0,5]$.

In [43]:
S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)

Chiper = rho2(A)

def rho_reverse(Chiper):
    Chiper_out = [[[0]*w for _ in range(5)] for _ in range(5)]  # задаём выходной массив

    for x in range(5):
        for y in range(5):
            for z in range(w):
                Chiper_out[x][y][z - rhoMatrix[x][y]] = Chiper[x][y][z]
                
    return Chiper_out
            
rho_reverse(Chiper) == A

True

## Algorithm 3: $\bf\pi(A)$  
Функция $\pi(A)$ является перестановкой списков $A[x][y]$ длины $w=64.$


*Input:* $A$ - state array  
*Output:* $A'$ - state array  

1.  For all triples $(x, y, z)$ such that $0 ≤ x < 5,$ $0 ≤ y < 5,$ and $0 ≤ z < w,$ let
$$
  A′[x, y, z]= A[(x + 3y) \mod 5, x, z].
$$  
2.  Return $A′.$ 

In [44]:
def pi(A_in):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A_in[(x + 3*y) % 5][x][z]
    return A_out

## <font color='red'>Задание 6.</font>

Является ли функция $\pi(A)$ линейной?  Найти функцию $\pi^{-1}(A).$



Функцию $f:X\rightarrow K$ называют <font color=blue>линейной</font>, если $\forall x,y\in X$ $\forall \alpha,\beta\in K$  справедливо равенство
$$
  f(\alpha x+\beta y)=\alpha f(x)+\beta f(y).
$$ 
Так как установить линейность для всех значений $x, y \in X$ и для всех $\alpha,\beta \in K$ невозможно, проверим выполнение свойства для случайных значений $x, y$ и для случайных $\alpha,\beta$.

In [45]:
alpha = random.randint(1,100)
beta = random.randint(1,100)

x = [random.randint(0,1) for _ in range(b)]
y = [random.randint(0,1) for _ in range(b)]

alpha_x = [alpha * elem for elem in x]
beta_y = [beta * elem for elem in y]

arr_alpha_beta = Transform3Dto1D(pi(Transform1Dto3D(XOR1D(alpha_x,beta_y))))

arr_alpha = [alpha * elem for elem in Transform3Dto1D(pi(Transform1Dto3D(x)))]
arr_beta = [beta * elem for elem in Transform3Dto1D(pi(Transform1Dto3D(y)))]

arr = XOR1D(arr_alpha, arr_beta)

arr == arr_alpha_beta

True

Функция $\pi^{-1}(A)$ возвращает расшифрованое сообщение, зашифрованое функцией $\pi(A)$.

In [46]:
S = [random.randint(0,1) for _ in range(b)]
A = Transform1Dto3D(S)

Chiper = pi(A)

def pi_reverse(Chiper):
    Chiper_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    
    for x in range(5):
        for y in range(5):
            for z in range(w):
                Chiper_out[(x + 3*y) % 5][x][z] = Chiper[x][y][z]
                
    return Chiper_out
    
pi_reverse(Chiper) == A

True

## Algorithm 4: $\bf \chi(A) $ 
*Input:* $A$ - state array  
*Output:* $A'$ - state array  

1.  For all triples $(x, y, z)$ such that $0 ≤ x < 5,$ $0 ≤ y < 5,$ and $0 ≤ z < w,$ let
$$
A′ [x, y, z] = A[x, y, z] ⊕ ((A[(x+1) \mod 5, y, z] ⊕ 1) ⋅  A[(x+2) \mod 5, y, z]).
$$
2.  Return $A′.$

The dot in the right side of the assignment for Step 1 indicates integer multiplication, which in this case is equivalent to the intended Boolean “AND” operation.

In [47]:
def chi(A):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A[x][y][z] ^ ((A[(x+1)%5][y][z] ^ 1) & A[(x+2)%5][y][z]) 
    return A_out

## <font color='red'>Задание 7.</font>

Является ли функция $\chi(A)$ линейной?

Функцию $f:X\rightarrow K$ называют <font color=blue>линейной</font>, если $\forall x,y\in X$ $\forall \alpha,\beta\in K$  справедливо равенство
$$
  f(\alpha x+\beta y)=\alpha f(x)+\beta f(y).
$$ 
Так как установить линейность для всех значений $x, y \in X$ и для всех $\alpha,\beta \in K$ невозможно, проверим выполнение свойства для случайных значений $x, y$ и для случайных $\alpha,\beta$.

In [48]:
alpha = random.randint(1,100)
beta = random.randint(1,100)

x = [random.randint(0,1) for _ in range(b)]
y = [random.randint(0,1) for _ in range(b)]

alpha_x = [alpha * elem for elem in x]
beta_y = [beta * elem for elem in y]

arr_alpha_beta = Transform3Dto1D(chi(Transform1Dto3D(XOR1D(alpha_x,beta_y))))

arr_alpha = [alpha * elem for elem in Transform3Dto1D(chi(Transform1Dto3D(x)))]
arr_beta = [beta * elem for elem in Transform3Dto1D(chi(Transform1Dto3D(y)))]

arr = XOR1D(arr_alpha, arr_beta)

arr == arr_alpha_beta

False

## Гаммирование
Гамми́рование, или Шифр XOR, — метод симметричного шифрования, заключающийся в «наложении» последовательности, состоящей из случайных чисел, на открытый текст. Последовательность случайных чисел называется гамма-последовательностью и используется для зашифровывания и расшифровывания данных.

**Шифрование**
$$
  cipher=Encryption(message,\gamma)=message\oplus\gamma
$$  

**Дешифрование**
$$
  Decryption(cipher,\gamma)=cipher\oplus\gamma=message\oplus\gamma\oplus\gamma=message
$$

Так как $\gamma\oplus\gamma = 0,$ $\quad message\oplus 0 = message$

## Algorithm 5:  rc(t)  

Рассмотрим вспомогательную функцию $rc(t),$ которая будет гамма-последовательностью  для функции $\iota(A, round)$

*Input:* $t\in\mathbb{N}$  
*Output:* $rc(t)\in\{0,1\}.$

1.$ $  If $\;t \mod 255 = 0,$ return 1.  
2.$ $  Let $R = "10000000".$    
3.$ $  For i from 1 to $t \mod 255,$ let:       
$\qquad a.$  $R = 0 || R;$  
$\qquad b.$  $R[0] = R[0] ⊕ R[8];$  
$\qquad c.$  $R[4] = R[4] ⊕ R[8];$  
$\qquad d.$  $R[5] = R[5] ⊕ R[8];$  
$\qquad e.$  $R[6] = R[6] ⊕ R[8];$  
$\qquad f.$  $R =Trunc_8[R].$  
4.$ $  Return $R[0].$



In [49]:
def Rc(t):
    if t%255 == 0:
        return 1
    R = [1,0,0,0,0,0,0,0]
    for i in range(1,(t%255)+1):
        R = [0]+R
        R[0] = R[0]^R[8]
        R[4] = R[4]^R[8]
        R[5] = R[5]^R[8]
        R[6] = R[6]^R[8]
        R = R[:8]
    return R[0]       

## Algorithm 6: $\bf\iota(A, round)$  
*Input:* $A$ - state array;  
$\qquad round\in\mathbb{Z}$ - значение итерационной переменной из функции $Sponge.$         

*Output:* $A'$ - state array  

1.  For all triples $(x, y, z)$ such that $0 ≤ x < 5,$ $0 ≤ y < 5,$ and $0 ≤ z < w,$ let 
$$
  A′[x, y, z] = A[x, y, z].
$$  
2.  Let $RC = 0^w.$  
3.  For j from 0 to $l=6,$ let 
$$
  RC[2^j – 1] = rc(j + 7i_r).
$$  
4.  For all z such that $0 ≤ z < w,$ let 
$$
  A′ [0, 0, z] = A′ [0, 0, z] ⊕ RC[z].
$$
5.  Return $A′.$


In [50]:
def iota2(A_in, round):
    A_out = A_in.copy()
    
    # следующие 3 строки - вычисление гамма-последовательности
    RC = [0]*w
    for j in range(l+1):
        RC[2**j-1] = Rc(j+7*round)
    
    for z in range(w):
        A_out[0][0][z] = A_out[0][0][z] ^ RC[z]
    return A_out

Функция $\iota(A,round)$ это наложение гаммы на строку $A(0,0).$
При этом на каждом раунде берутся разные значения гаммы, но гамма не зависит от $A,$ поэтому вычислим её заранее  

In [51]:
R = [1,0,0,0,0,0,0,0]
rc = [1]
for i in range(1,255):
        R = [0]+R
        R[0] = R[0]^R[8]
        R[4] = R[4]^R[8]
        R[5] = R[5]^R[8]
        R[6] = R[6]^R[8]
        R = R[:8]
        rc.append(R[0])
print(rc)   

[1, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1, 1, 0, 0, 0, 1, 1, 1, 1, 0, 1, 0, 0, 0, 0, 1, 1, 1, 1, 1, 1, 1, 1, 0, 0, 1, 0, 0, 0, 0, 1, 0, 1, 0, 0, 1, 1, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 1, 1, 1, 0, 0, 0, 0, 0, 1, 1, 0, 0, 0, 1, 0, 1, 0, 1, 1, 0, 0, 1, 1, 0, 0, 1, 0, 1, 1, 1, 1, 1, 1, 0, 1, 1, 1, 1, 0, 0, 1, 1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 0, 1, 0, 1, 0, 1, 0, 0, 1, 0, 1, 0, 0, 0, 1, 0, 0, 1, 0, 1, 1, 0, 1, 0, 0, 0, 1, 1, 0, 0, 1, 1, 1, 0, 0, 1, 1, 1, 1, 0, 0, 0, 1, 1, 0, 1, 1, 0, 0, 0, 0, 1, 0, 0, 0, 1, 0, 1, 1, 1, 0, 1, 0, 1, 1, 1, 1, 0, 1, 1, 0, 1, 1, 1, 1, 1, 0, 0, 0, 0, 1, 1, 0, 1, 0, 0, 1, 1, 0, 1, 0, 1, 1, 0, 1, 1, 0, 1, 0, 1, 0, 0, 0, 0, 0, 1, 0, 0, 1, 1, 1, 0, 1, 1, 0, 0, 1, 0, 0, 1, 0, 0, 1, 1, 0, 0, 0, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 0, 0]


После чего функция $\iota(A,round)$ примет вид

In [52]:
def iota(A, round):
    rc = [1,0,0,0,0,0,0,0,1,0,1,1,0,0,0,1,1,
          1,1,0,1,0,0,0,0,1,1,1,1,1,1,1,1,0,
          0,1,0,0,0,0,1,0,1,0,0,1,1,1,1,1,0,
          1,0,1,0,1,0,1,1,1,0,0,0,0,0,1,1,0,
          0,0,1,0,1,0,1,1,0,0,1,1,0,0,1,0,1,
          1,1,1,1,1,0,1,1,1,1,0,0,1,1,0,1,1,
          1,0,1,1,1,0,0,1,0,1,0,1,0,0,1,0,1,
          0,0,0,1,0,0,1,0,1,1,0,1,0,0,0,1,1,
          0,0,1,1,1,0,0,1,1,1,1,0,0,0,1,1,0,
          1,1,0,0,0,0,1,0,0,0,1,0,1,1,1,0,1,
          0,1,1,1,1,0,1,1,0,1,1,1,1,1,0,0,0,
          0,1,1,0,1,0,0,1,1,0,1,0,1,1,0,1,1,
          0,1,0,1,0,0,0,0,0,1,0,0,1,1,1,0,1,
          1,0,0,1,0,0,1,0,0,1,1,0,0,0,0,0,0,
          1,1,1,0,1,0,0,1,0,0,0,1,1,1,0,0,0]
    
    for j in range(l+1):
        A[0][0][2**j-1] = A[0][0][2**j-1] ^ rc[(j+7*round)%255] 
    return A

  ## <font color='red'>Задание 8.</font>

Является ли функция $\iota(A)$ линейной?  Как найти обратную к $\iota(A)$? 

Функцию $f:X\rightarrow K$ называют <font color=blue>линейной</font>, если $\forall x,y\in X$ $\forall \alpha,\beta\in K$  справедливо равенство
$$
  f(\alpha x+\beta y)=\alpha f(x)+\beta f(y).
$$ 
Так как установить линейность для всех значений $x, y \in X$ и для всех $\alpha,\beta \in K$ невозможно, проверим выполнение свойства для случайных значений $x, y$ и для случайных $\alpha,\beta$.

In [53]:
round = random.randint(0,99)  

alpha = random.randint(1,100)
beta = random.randint(1,100)

x = [random.randint(0,1) for _ in range(b)]
y = [random.randint(0,1) for _ in range(b)]

alpha_x = [alpha * elem for elem in x]
beta_y = [beta * elem for elem in y]

arr_alpha_beta = Transform3Dto1D(iota(Transform1Dto3D(XOR1D(alpha_x,beta_y)),round))

arr_alpha = [alpha * elem for elem in Transform3Dto1D(iota(Transform1Dto3D(x),round))]
arr_beta = [beta * elem for elem in Transform3Dto1D(iota(Transform1Dto3D(y),round))]

arr = XOR1D(arr_alpha, arr_beta)

arr == arr_alpha_beta

False

Так как функция $\iota(A,round)$ это наложение гаммы на строку $A(0,0)$ и на каждом раунде берутся разные значения гаммы, но гамма не зависит от $A,$ поэтому для того, чтобы получить исходный массив необходимо применить функцию дважды при одном и том же раунде.

In [54]:
x_new = iota(iota(Transform1Dto3D(x),round),round)
Transform1Dto3D(x) == x_new

True

 ## <font color='red'>Задание 9*.</font>
Есть и альтернативный способ вычисления гамма-последовательности $rc,$ представленный ниже. Объяснить математически, почему rc=rc2. Первому решившему +1 балл к экзаменационной оценке.  

In [55]:
v=[1,0,0,0,0,0,0,0]
rc2 = [v[0]]

for _ in range(1,255):
    v=[v[1],v[2],v[3],v[4],v[5],v[6],v[7],v[0] ^ v[4] ^ v[5] ^ v[6]];
    rc2.append(v[0])

    rc == rc2

## Соберем весь код функции SHA-3_256 в одну ячейку

In [56]:
l = 6 
b = 25*(2**l) 
w = 2**l

def Transform1Dto3D(S):
    A = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A[x][y][z] = S[w*(5*y + x)+z]
    return A

def Transform3Dto1D(A):
    S = [0]*(5*5*w)
    for x in range(5):
        for y in range(5):
            for z in range(w):
                S[w*(5*y + x)+z] = A[x][y][z]
    return S

def theta(A):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    C = [[0]*w for _ in range(5)]
    D = [[0]*w for _ in range(5)]
    for x in range(5):
        for z in range(w):
            C[x][z] = A[x][0][z]^A[x][1][z]^A[x][2][z]^A[x][3][z]^A[x][4][z] 
    for x in range(5):
        for z in range(w):
            D[x][z] = C[x-1][z] ^ C[(x+1)%5][z-1]
    for x in range(5):
        for y in range(5):
            for z in range(w):            
                A_out[x][y][z] = A[x][y][z] ^ D[x][z]
    return A_out

def rho(A_in):
    rhoMatrix = [[0, 36, 3, 41, 18], [1, 44, 10, 45, 2], [62, 6, 43, 15, 61], [28, 55, 25, 21, 56], [27, 20, 39, 8, 14]]
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A_in[x][y][z - rhoMatrix[x][y]]

    return A_out

def pi(A_in):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A_in[(x + 3*y) % 5][x][z]
    return A_out

def chi(A):
    A_out = [[[0]*w for _ in range(5)] for _ in range(5)]
    for x in range(5):
        for y in range(5):
            for z in range(w):
                A_out[x][y][z] = A[x][y][z] ^ ((A[(x+1)%5][y][z] ^ 1) & A[(x+2)%5][y][z]) 
    return A_out

def iota(A, round):
    rc = [1,0,0,0,0,0,0,0,1,0,1,1,0,0,0,1,1,
          1,1,0,1,0,0,0,0,1,1,1,1,1,1,1,1,0,
          0,1,0,0,0,0,1,0,1,0,0,1,1,1,1,1,0,
          1,0,1,0,1,0,1,1,1,0,0,0,0,0,1,1,0,
          0,0,1,0,1,0,1,1,0,0,1,1,0,0,1,0,1,
          1,1,1,1,1,0,1,1,1,1,0,0,1,1,0,1,1,
          1,0,1,1,1,0,0,1,0,1,0,1,0,0,1,0,1,
          0,0,0,1,0,0,1,0,1,1,0,1,0,0,0,1,1,
          0,0,1,1,1,0,0,1,1,1,1,0,0,0,1,1,0,
          1,1,0,0,0,0,1,0,0,0,1,0,1,1,1,0,1,
          0,1,1,1,1,0,1,1,0,1,1,1,1,1,0,0,0,
          0,1,1,0,1,0,0,1,1,0,1,0,1,1,0,1,1,
          0,1,0,1,0,0,0,0,0,1,0,0,1,1,1,0,1,
          1,0,0,1,0,0,1,0,0,1,1,0,0,0,0,0,0,
          1,1,1,0,1,0,0,1,0,0,0,1,1,1,0,0,0]
    for j in range(l+1):
        A[0][0][2**j-1] = A[0][0][2**j-1] ^ rc[(j+7*round)%255] 
    return A

def Rnd(A, round):
    return iota(chi(pi(rho(theta(A)))),round)

def KECCAK_p(𝑆):
    A = Transform1Dto3D(S)
    for round in range(24):
        A = Rnd(A,round)
    return Transform3Dto1D(A)

def Reverse(Z):
    n = len(Z)//8
    partition = [Z[i*8:(i+1)*8] for i in range(n)]
    out = []
    for i in range(n):
        partition[i].reverse()
        out += partition[i]
    return out

def pad101(r, m):
    j = (-m-2) % r
    return [1] + [0]*j + [1]

def Sponge(r,N,d):
    P = N + pad101(r,len(N))
    n = len(P)//r
    c = b - r
    S =[0]*b
    for i in range(n):
        Pi = P[i*r:(i+1)*r]
        for j in range(r):
            S[j] = S[j]^Pi[j]
        S = KECCAK_p(S)
    Z = S[:r]
    while d>len(Z):
        S = KECCAK_p(S)
        Z = Z+S[:r]
    Z = Reverse(Z)    
    return Z[:d]

def Keccak(c,N,d):
    return Sponge(1600-c,N,d)


def ord2(alpha):
    bits = [int(i) for i in bin(ord(alpha))[2:]]
    bits = [0]*(8-len(bits))+bits
    bits.reverse()
    return bits

def Text2Bits(text):
    bits = []
    for i in text:
        bits += ord2(i)
    return bits

def SHA3_256(M):
    return Keccak(512,Text2Bits(M)+[0,1],256)

def Hex(list4):
    s = 0
    for i in range(4):
        s += list4[-(i+1)]*2**i
    return hex(s)[-1]    

def List2Hex(h):
    s = ''
    for i in range(len(h)//4):
        s+= Hex(h[4*i:4*(i+1)])
    return s    

## Сравнение со встроенной функцией

In [57]:
List2Hex(SHA3_256("KM"))

'70e0773cfa26ee6cd7e2ed9c2fb8728728a6bd6827be9ee2e0747f67bc9fa95c'

In [58]:
import hashlib
hashlib.sha3_256(b"KM").hexdigest()

'70e0773cfa26ee6cd7e2ed9c2fb8728728a6bd6827be9ee2e0747f67bc9fa95c'

In [59]:
text = "KM"*2022
List2Hex(SHA3_256(text))

'd7f5d43b768ab94ba07d4c0bf65f8154ff5c40da4aeda002f2c85f194d9775f5'

In [60]:
hashlib.sha3_256(bytes(text, encoding = 'utf-8')).hexdigest()

'd7f5d43b768ab94ba07d4c0bf65f8154ff5c40da4aeda002f2c85f194d9775f5'

In [61]:
import time
start_time = time.time()
List2Hex(SHA3_256(text))
print("--- %s seconds ---" % (time.time() - start_time))
start_time = time.time()
hashlib.sha3_256(bytes(text, encoding = 'utf-8')).hexdigest()
print("--- %s seconds ---" % (time.time() - start_time))


--- 0.9281997680664062 seconds ---
--- 0.0 seconds ---


## <font color='red'>Задание 10.</font>

Реализовать согласно стандарту [FIPS PUB 202](https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.202.pdf "Ссылка на стандарт")
функции sha3_224, sha3_384,  sha3_512. Сравнить их работу со встроенными.

In [62]:
def SHA3_224(M):
    return Keccak(448,Text2Bits(M)+[0,1],224)
def SHA3_384(M):
    return Keccak(768,Text2Bits(M)+[0,1],384)
def SHA3_512(M):
    return Keccak(1024,Text2Bits(M)+[0,1],512)

Сравнение функции SHA3_224 со встроенной:

In [63]:
List2Hex(SHA3_224("KM"))

'12705b1020cfe06249d2143647f43bbf6aa4e5e26bd835ec70defb63'

In [64]:
import hashlib
hashlib.sha3_224(b"KM").hexdigest()

'12705b1020cfe06249d2143647f43bbf6aa4e5e26bd835ec70defb63'

In [65]:
text = "KM"*2022
List2Hex(SHA3_224(text))

'd073d54f42f7b3c66baaa64eb12f6f30be2d3ee382c3f5a83b35d76c'

In [66]:
hashlib.sha3_224(bytes(text, encoding = 'utf-8')).hexdigest()

'd073d54f42f7b3c66baaa64eb12f6f30be2d3ee382c3f5a83b35d76c'

In [67]:
import time
start_time = time.time()
List2Hex(SHA3_224(text))
print("--- %s seconds ---" % (time.time() - start_time))
start_time = time.time()
hashlib.sha3_224(bytes(text, encoding = 'utf-8')).hexdigest()
print("--- %s seconds ---" % (time.time() - start_time))

--- 0.8935608863830566 seconds ---
--- 0.0 seconds ---


Сравнение функции SHA3_384 со встроенной:

In [68]:
List2Hex(SHA3_384("KM"))

'a5c23191e9bf1c9725913c6ac290d3de9e5071c959a848c084b926a4c5f001ec46b59f8d10655b0e0b72e01a5516748b'

In [69]:
import hashlib
hashlib.sha3_384(b"KM").hexdigest()

'a5c23191e9bf1c9725913c6ac290d3de9e5071c959a848c084b926a4c5f001ec46b59f8d10655b0e0b72e01a5516748b'

In [70]:
text = "KM"*2022
List2Hex(SHA3_384(text))

'e4717aaa35097f012e42f64efc11c5468528371764d0fb46ba8295f2b6e1e3697e1502b131317e1aa4789224ca782a76'

In [71]:
hashlib.sha3_384(bytes(text, encoding = 'utf-8')).hexdigest()

'e4717aaa35097f012e42f64efc11c5468528371764d0fb46ba8295f2b6e1e3697e1502b131317e1aa4789224ca782a76'

In [72]:
import time
start_time = time.time()
List2Hex(SHA3_384(text))
print("--- %s seconds ---" % (time.time() - start_time))
start_time = time.time()
hashlib.sha3_384(bytes(text, encoding = 'utf-8')).hexdigest()
print("--- %s seconds ---" % (time.time() - start_time))

--- 1.1690800189971924 seconds ---
--- 0.0 seconds ---


Сравнение функции SHA3_512 со встроенной:

In [73]:
List2Hex(SHA3_512("KM"))

'83196c6465b4e59fdcc0c3418db8e923cb3a68e5445a918c9a4befee4e0071612d1d31effab7e0e58206aab30170bfd25b3ccb1589ad11bac97d97230288da1d'

In [74]:
import hashlib
hashlib.sha3_512(b"KM").hexdigest()

'83196c6465b4e59fdcc0c3418db8e923cb3a68e5445a918c9a4befee4e0071612d1d31effab7e0e58206aab30170bfd25b3ccb1589ad11bac97d97230288da1d'

In [75]:
text = "KM"*2022
List2Hex(SHA3_512(text))

'ca5c9a01a1ce4e3d8547a8370d8e1dccdce5950636f4245de800f16a20381837ec1058ca27d9f13046efb79fc1ec57d7182a7cec02a7b6ea9e08fb869a0af44c'

In [76]:
hashlib.sha3_512(bytes(text, encoding = 'utf-8')).hexdigest()

'ca5c9a01a1ce4e3d8547a8370d8e1dccdce5950636f4245de800f16a20381837ec1058ca27d9f13046efb79fc1ec57d7182a7cec02a7b6ea9e08fb869a0af44c'

In [77]:
import time
start_time = time.time()
List2Hex(SHA3_512(text))
print("--- %s seconds ---" % (time.time() - start_time))
start_time = time.time()
hashlib.sha3_512(bytes(text, encoding = 'utf-8')).hexdigest()
print("--- %s seconds ---" % (time.time() - start_time))

--- 1.7066092491149902 seconds ---
--- 0.0 seconds ---
