# Trabalho prático 3

**Grupo 5**:
* Duarte Oliveira \<pg47157\>
* Melânia Pereira \<pg47520\>

# Dilithium 
Criação de um protótipo em Sagemath do algoritmo Dilithium, candidato ao [concurso NIST Post-Quantum Cryptography](https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions) na categoria de esquemas de assinatura digital.

Decidimos seguir a abordagem básica do problema, cujo especificação e detalhe pode ser encontrada [neste documento](https://pq-crystals.org/dilithium/data/dilithium-specification-round3-20210208.pdf).

# Inicialização

In [44]:
import os
import math
import sys
import hashlib
import numpy as np

Os parâmetros foram definidos de acordo com o recomendado na documentação para o nível de segurança 5.

In [45]:
class DILIT:
    #Geração dos parâmetros (Security Level 5)
    def __init__(self):                                           
        self.n = 256
        self.d = 13
        self.q = 8380417
        self.k = 8
        self.l = 7
        self.eta = 2
        self.tau = 60
        self.beta = 120
        self.gama1 = 2^19
        self.gama2 = (self.q)-1/32
        self.omega = 75
        
    #Geração dos anéis 
        Zx.<x> = ZZ[]
        Zq.<z> = PolynomialRing(GF(self.q))
        self.Rq = QuotientRing(Zq,z^self.n+1)
        self.R = QuotientRing(Zx, x^self.n+1)
    
    #Geração do espaço matrix 
        self.Mr  = MatrixSpace(self.Rq,self.k,self.l)

# Geração de chaves

Para gerar as chaves pública e privada começamos por gerar a matriz **A** de polinómios em $R_q^{k \times l}$, usando o *MatrixSpace()*.

De seguida, geramos os vetores **s<sub>1</sub>** em $S_{\eta}^l$ e **s<sub>2</sub>** em $S_{\eta}^k$, da mesma forma que a matriz **A** mas, deste vez, queríamos vetores, que são, no fundo, uma matriz com apenas uma linha. Cada coeficiente destes vetores é um elemento de $R_q$ com coeficientes pequenos de tamanho máximo $\eta$.

Depois, foi necessário calcular a segunda parte da chave pública **t**, multiplicando a matriz **A** pelo vetor **s<sub>1</sub>** e somando o resultado a **s<sub>2</sub>**.

Ou seja, os passos são:
+ Gerar **A** $\leftarrow R_q^{k \times l}$
+ Gerar (**s<sub>1</sub>**,**s<sub>2</sub>**) $\leftarrow S_{\eta}^l \times S_{\eta}^k$
+ Calcular **t** := **As<sub>1</sub>** + **s<sub>2</sub>**


Finalmente, as chaves pública e privada são dadas por:

+ chave pública: (**A**,**t**)
+ chave privada: (**A**,**t**,**s<sub>1</sub>**,**s<sub>2</sub>**)

Estes dois tuplos são devolvidos pela função de geração de chaves.

In [46]:
class DILIT(DILIT):
    
    #Algoritmo de geração de chaves  
    def keygen(self):
        # Criação da matriz A
        A = self.genA()
        
        # Criação dos vetores s1 e s1
        s1 = self.genS(self.eta, self.l)
        s2 = self.genS(self.eta, self.k)
        t = A*s1 + s2
        
        pubkey = (A,t)
        privkey = (A,t,s1,s2)
        
        return pubkey, privkey
        
    #Geração a matriz A em Rq
    def genA(self):
        K = []
        for i in range(self.k*self.l):
            K.append(self.Rq.random_element())
        A = self.Mr(K)
        return A
    
    #Geração Vetores S em Rq com o tamanho 'tam' e coeficiente até 'limite'
    def genS(self, limite, tam):
        vetor = MatrixSpace(self.Rq,tam,1)
        K = []
        for i in range(tam):
            poli = []
            for j in range(self.n):
                poli.append(randint(1,limite))
            K.append(self.Rq(poli))
        S = vetor(K)
        return S


# Assinatura

A função de assinatura recebe 2 parâmetros:
 
+ a chave privada (**A**,**t**,**s<sub>1</sub>**,**s<sub>2</sub>**)
+ a mensagem $M$ a assinar

Para fazer a assinatura da mensagem seguimos os seguintes passos:

+ Gerar **y** $\leftarrow S_{\gamma_1-1}^l$, um vetor de polinómios com coeficientes menores ou iguais a $\gamma_1$
+ Calcular **w** := **A*****y**
+ Obter **w<sub>1</sub>** := highBits(**w**,2*$\gamma_2$), que são os *bits* de "ordem maior" dos coeficientes do vetor **w**
+ Gerar *c* := $H( M~||$ **w<sub>1</sub>** $)$, em que $H$ é instanciado como SHAKE-256
+ Calcular a potencial assinatura **z** := **y** + *c***s<sub>1</sub>**
  
Se **z** fosse diretamente retornado neste ponto, o esquema de assinatura seria inseguro pelo facto de que a chave privada seria revelada. Para evitar a dependência da chave privada, neste esquema é usado *rejection sampling*, para isso são feitas duas verificações:

1. Se algum coeficiente de **z** for maior que $\gamma_1 - \beta$, **z** é rejeitada e recomeçamos o procedimento de assinatura.
2. Ainda, se algum coeficiente dos *bits* de "baixa ordem" de **Az** - *c***t** for maior que $\gamma_2 - \beta$, é também recomeçado o procedimento de assinatura, sendo que a potencial assinatura **z** é rejeitada.

A primeira verificação é necessária para a segurança do esquema de assinatura, mas a segunda é necessária tanto para segurança como para a sua correção.

Se tudo correr bem, e as verificações acima não se verificarem, é devolvida a assinatura $\sigma$ = (**z**,*c*).

In [47]:
class DILIT(DILIT):
    def sign(self, sk, M): 
        A, t, s1, s2 = sk
        vetor = MatrixSpace(self.Rq,self.k,1)
        z = 0
        while(z==0):
            # Criação do vetor y
            y = self.genS(int(self.gama1-1) , self.l)
            # Cálculo w
            w = A * y
            # Aplicar HighBits
            w1 = self.hbPoli(w, 2*self.gama2)
            
            # Hash de M || w1
            c = self.Hash(M.encode(), str(w1).encode())
            cq = self.Rq(c)
            
            # Cálculo de z
            z = y + cq*s1
            
            if self.norma_inf_vet(z)[0] >= self.gama1 - self.beta or self.norma_inf_matriz(self.lbPoli(A*y-cq*s2,2*self.gama2)) >= self.gama2-self.beta:
                z=0
            else:
                sigma = (z,c)
                return sigma
                
    def highBits(self, r, alfa):
        (r1,r0) = self.decompose(r, alfa)
        return r1

    def lowBits(self, r, alfa):
        (r1,r0) = self.decompose(r, alfa)
        return r0
        
    def decompose(self, r, alfa):
        r = mod(r, self.q)
        r0 = int(mod(r,int(alfa)))
        if (r-r0 == self.q-1):
            r1 = 0
            r0 = r0-1
        else:
            r1 = (r-r0)/int(alfa)
        return (r1,r0)
    
    def hbPoli(self, poli,alfa):
        k = poli.list()
        for i in range(len(k)):
            h = k[i]
            h = h.list()
            for j in range(len(h)):
                h[j]=self.highBits(int(h[j]), alfa)
            k[i]=h
        return k
    
    def lbPoli(self,poli,alfa):
        k = poli.list()
        for i in range(len(k)):
            h = k[i]
            h = h.list()
            for j in range(len(h)):
                h[j] = self.lowBits(int(h[j]),alfa)
            k[i] = h
        return k
    
    def access_bit(self, data, num):                              #Passa de Bytes para bits
        base = int(num // 8)
        shift = int(num % 8)
        return (data[base] & (1<<shift)) >> shift
    
    def SampleInBall(self,r):
        sl = [self.access_bit(r[:8],i) for i in range(len(r[:8])*8)]
        k = 8 # descartar primeiros 8
        c = [0] * 256 

        for i in range (256-self.tau, 256):
            while (int(r[k])>i):
                k +=1 
                
            j = int(r[k])
            k += 1
            s = int(sl[i-196])
  
            c[i] = c[j]
            c[j] = (-1)^(s)
        return c

    def Shake(self,a,b):
        shake = hashlib.shake_256()
        shake.update(a)
        shake.update(b)
        s = shake.digest(int(256))
        return s

    def Hash(self,a,b):
        r = self.Shake(a,b)
        c = self.SampleInBall(r)
        return c
    
    def norma_infinito(self,pol,n):
        J = pol.list()
        for i in range(len(J)):
            k = J[i]
            K = k.list()
            for j in range(len(K)):
                K[j] = abs(int(K[j]))
            J[i] = K
        L = []
        for i in range(len(J)):
            L.append(max(J[i]))
        return max(L)

    def norma_inf_vet(self,vetor):
        for i in range(vetor.nrows()):
            norm = self.norma_infinito(vetor[i],self.q)
            vetor[i] = norm
        return max(vetor)
    
    
    def norma_inf_matriz(self,matriz):
        L = []
        for i in range(len(matriz)):
            k = matriz[i]
            for j in range(len(k)):
                if k[j] < 0:
                    k[j] = abs(k[j])
                L.append(max(k))
        for i in range(len(L)):
            J = []
            J.append(max(L))
        return J[0]
    


# Verificação

A função de verificação recebe 3 parâmetros:

+ a chave pública (**A**,**t**)
+ a mensagem original $M$ 
+ a assinatura devolvida na função de assinatura (**z**,*c*)

Para efetuar a verificação da assinatura, começamos por calcular **w'<sub>1</sub>** := highBits(**Az** - *c***t**), que corresponde aos *bits* de maior ordem do vetor resultante da operação **Az** - *c***t**.

A assinatura é aceita, ou seja, verificada como válida, se todos os coeficientes de **z** forem menores que $\gamma_1 - \beta$ e se *c* corresponder à hash (função $H$ instanciada como SHAKE-256) da concatenação de $M$ com **w'<sub>1</sub>**.

Podemos perceber que o cálculo de **w'<sub>1</sub>** é bastante semelhante ao cálculo realizado na função de assinatura. Para perceber o porquê desta verificação realmente funcionar, convém então perceber o porquê de highBits(**Ay**,2*$\gamma_2$) = highBits(**Az** - *c***t**,2*$\gamma_2$). A primeira coisa a reparar é que **Az** - *c***t** = **Ay** - *c***s<sub>2</sub>** e, por isso, na verdade o que precisamos de perceber é que highBits(**Ay**,2*$\gamma_2$) = highBits(**Ay** - *c***s<sub>2</sub>**,2*$\gamma_2$).

A razão disto é o facto de uma assinatura válida ter sempre $||$ LowBits $($ **Ay** − *c***s<sub>2</sub>**, 2 $\gamma_2)||_\infty < \gamma_2 − \beta$. Como sabemos que os coeficientes de *c***s<sub>2</sub>** são menores que $\beta$, sabemos também que adicionar *c***s<sub>2</sub>** a **Ay** não é o suficiente para aumentar qualquer coeficiente de "baixa ordem" de maneira a que tenha magnitude de pelo menos $\gamma_2$.

In [48]:
class DILIT(DILIT):
    
    # Função para verificar uma assinatura
    def verify(self,pk, M, sigma):
        A,t = pk
        z,c = sigma
        
        cq = self.Rq(c)
        
        w1 = self.hbPoli(A*z - cq*t, 2*self.gama2)
       
        u = str(w1).encode()
        k = M.encode()
        c_ = self.Hash(k,u)
        
        if c_ == c:
            print("Assinatura Válida!")
        else:
            print("Assinatura Inválida!")

# Teste

In [49]:
d = DILIT()

msg = 'hello'
pk,sk = d.keygen()
sigma = d.sign(sk,msg)
d.verify(pk, msg, sigma)

Assinatura Válida!
