# Trabalho Prático 3

## Introdução

A resolução deste trabalho prático tem 3 objetivos principais:

- Criar uma classe **Python** que implemente o algoritmo de _Boneh & Venkatesan_ .
- Implementação de um esquema de assinaturas digitais _FALCON_ .
- Estudar gamas de valores de determinados parâmetros que tornem viável um ataque de inversão de chave pública ou inversão do criptograma utilizando redução de bases.

Este relatório está, desta forma, dividido em três partes, cada parte correspondente à resolução de um dos problemas e, além disso, está estruturado de forma a que o texto entre os _snippets_ de código seja suficientemente explicativo sobre a implementação e desenho da solução em cada um dos problemas.

## Algoritmo de Boneh & Venkatesan

Esta secção tem como propósito definir uma classe **Python** que implemente o algoritmo de _Boneh & Venkatesan_ , que explora o _Hidden Number Problem_ que, se bem sucedido, permite obter um segredo a partir de um conjunto de dados. Além disso, a secção está dividida em duas partes:

- A primeira parte define apenas o algoritmo de _Boneh & Venkatesan_ .
- A segunda parte, apelidade de teste, fornece os parâmetros necessários à instância do algoritmo para que ele descubra o segredo **s** a partir dos mesmos.

**CONVÉM DEFINIR UM BOCADO O HNP AQUI. DIZER O QUE É.**

### Definição do oráculo HNP

O propósito desta secção passa por definir o oráculo que gera um segredo e, posteriormente, retorna o vetor u, com l elementos, onde cada um é um inteiro representativo dos k bits mais significativos de $ s * xi $.

In [52]:

class HNPOracle:
    
    def __init__(self,p):
        # gerar o segredo.
        self.secret = ZZ.random_element(p)
        print 'secret'
        print self.secret
    
    def msb(self,k,p,xi):
        value = ZZ(Mod(xi*self.secret,p))
        binary_value = value.digits(2)
        binary_value.reverse()
        value_str = ''
        if len(binary_value) < k:
            for i in range(0,len(binary_value)):
                value_str += str(binary_value[i])
        else:
            for i in range(0,k):
                value_str += str(binary_value[i])
        return value_str
    
    def compare_secret(self,calculated_secret):
        if calculated_secret == self.secret:
            return True
        else:
            return False

### Definição da função de geração do vetor aletório e vetor u

In [53]:
def generate_l_random_elements(l,p):
    x = []
    for i in range(0,l):
        x.append(ZZ.random_element(p))
    return x

def calculate_u_vector(x_vector,k,p,oracle):
    u_vector = []
    for xi in x_vector:
        ui = oracle.msb(k,p,xi)
        ui = ZZ(int(ui,2))
        u_vector.append(ui)
    return u_vector  

### Definição do algoritmo de Boneh & Venkatesan

In [54]:
import sage.modules.free_module_integer as fmi
import numpy as np

class BV:
    
    def __init__(self,u,x,k,p,l):
        # construir a matriz L , lambda,o target T e, finalmente, o reticulado Lret
        self.param_lambda = 2^(k+1)
        self.L = self.param_lambda * p * matrix.identity(l)
        self.L = self.L.transpose()
        self.L = self.L.insert_row(l,zero_vector(l))
        self.L = self.L.transpose()
        temp_x = [self.param_lambda * i for i in x]
        temp_x.append(1)
        self.L = self.L.insert_row(l,temp_x)
        self.target = [self.param_lambda * i for i in u]
        self.target.append(0)
        self.target = matrix(self.target)
        self.Lret = fmi.IntegerLattice(self.L)
        
    
    def solve(self,x,p,l):
        # Calcular o CVP aproximado do reticulado Lret
        L = matrix(self.Lret.reduced_basis)
        t = matrix(1,l+1,list(-self.target))
        zero = matrix(l+1,1,[0]*(l+1))
        M = matrix(1,1,p**2)
        L1 = block_matrix(2,2,[[L,zero],[t,M]])
        ret = fmi.IntegerLattice(L1).reduced_basis
        error1 = np.array(ret[l+1][:-1])
        y1 = error1 + self.target
        return y1[0][l] # última componente do vetor resultante.
        

### Teste ao algoritmo de Boneh & Venkatesan

In [78]:
l = 2^7
k = 64
p = 2^64
x_vector = generate_l_random_elements(l,p)
oracle = HNPOracle(p)
u_vector = calculate_u_vector(x_vector,k,p,oracle)
bv = BV(u_vector,x_vector,k,p,l)
calculated_secret = bv.solve(x_vector,p,l)
print 'calculated_secret'
print calculated_secret
if oracle.compare_secret(calculated_secret):
    print 'Algoritmo aproximado calculou o segredo com sucesso!'
else:
    print 'Algoritmo aproximado não conseguiu calcular o segredo com sucesso!'

secret
6981224216842594255
calculated_secret
6981224216842594255
Algoritmo aproximado calculou o segredo com sucesso!


## Definição do Esquema NTRU-Encrypt

In [24]:
name        = "NTRU_PKE_443"
d           = 115
N           = 443
p           = 3
q           = next_prime(p*N)       #2048
Z.<x>       = ZZ[]
Q.<x>       = PolynomialRing(GF(q),name='x').quotient(x^N-1)

def vec():
    return  [choice([-1,0,1]) for k in range(N)]

def qrnd(f):
    qq = (q-1)//2 ; ll = map(lift,f.list())
    return [n if n <= qq else n - q  for n in ll]

def prnd(l):
    pp = (p-1)//2
    rr = lambda x: x if x <= pp else x - p        
    return [rr(n%p) if n>=0 else -rr((-n)%p) for n in l]

class NTRU:
    
    def __init__(self):
        print name
        print d
        print N
        print p; print is_prime(p)
        print q; print is_prime(q)
        print Z
        print Q
    
    def keypair(self):
        f = Q(0)
        while not f.is_unit():
            F = Q(vec()); f = 1 + p*F
        G = Q(vec()) ; g = p*G
        self.f = f
        self.h = f^(-1) * g
    
    def encrypt(self, m):
        r = Q(vec())
        return r*self.h + Q(m)
    
    def decrypt(self,e):
        a = e*self.f
        return prnd(qrnd(a))
    


### Teste ao esquema NTRU

In [25]:
K = NTRU()
K.keypair()
m = vec()
e = K.encrypt(m)
print m == K.decrypt(e)


NTRU_PKE_443
115
443
3
True
1361
True
Univariate Polynomial Ring in x over Integer Ring
Univariate Quotient Polynomial Ring in x over Finite Field of size 1361 with modulus x^443 + 1360
True


## Conclusão

## Referências