# Trabalho Prático 3

## Introdução

A resolução deste trabalho prático tem 3 objetivos principais:

- Criar uma classe **Python** que implemente o algoritmo de _Boneh & Venkatesan_ .
- Implementação de um esquema de assinaturas digitais _FALCON_ .
- Estudar gamas de valores de determinados parâmetros que tornem viável um ataque de inversão de chave pública ou inversão do criptograma utilizando redução de bases.

Este relatório está, desta forma, dividido em três partes, cada parte correspondente à resolução de um dos problemas e, além disso, está estruturado de forma a que o texto entre os _snippets_ de código seja suficientemente explicativo sobre a implementação e desenho da solução em cada um dos problemas.

## Algoritmo de Boneh & Venkatesan

Esta secção tem como propósito definir uma classe **Python** que implemente o algoritmo de _Boneh & Venkatesan_ , que explora o _Hidden Number Problem_ que, se bem sucedido, permite obter um segredo a partir de um conjunto de dados. Além disso, a secção está dividida em duas partes:

- A primeira parte define apenas o algoritmo de _Boneh & Venkatesan_ .
- A segunda parte, apelidade de teste, fornece os parâmetros necessários à instância do algoritmo para que ele descubra o segredo **s** a partir dos mesmos.

**CONVÉM DEFINIR UM BOCADO O HNP AQUI. DIZER O QUE É.**

### Definição do oráculo HNP

O propósito desta secção passa por definir o oráculo que gera um segredo e, posteriormente, retorna o vetor u, com l elementos, onde cada um é um inteiro representativo dos k bits mais significativos de $ s * xi $.

In [59]:
class HNPOracle:
    
    def __init__(self,p):
        # gerar o segredo.
        self.secret = ZZ.random_element(p)
    
    def calculate_u_vector(self,x_vector,k,p):
        # k - nr de bits significativos do produto entre x e self.secret mod p
        # calcular o vetor u.
        u_vector = []
        for xi in x_vector:
            sxi = ZZ(Mod(self.secret*xi,p))
            sxi = sxi.digits(2)
            sxi.reverse()
            sxi_string = ''
            if len(sxi) < k:
                for i in range(0,len(sxi)):
                    sxi_string = sxi_string + str(sxi[i])
            else:
                for i in range(0,k):
                    sxi_string = sxi_string + str(sxi[i])
            u_vector.append(ZZ(int(sxi_string,2)))
        return u_vector
            
        
    def compare_secret(self,calculated_secret):
        # comparar o segredo calculado com o segredo gerado
        if self.secret == calculated_secret:
            return True
        else:
            return False

### Definição da função de geração do vetor aleatório

In [60]:
def generate_l_random_elements(l,p):
    x = []
    for i in range(0,l):
        x.append(ZZ.random_element(p))
    return x

### Definição do algoritmo de Boneh & Venkatesan

In [66]:
import sage.modules.free_module_integer as fmi
import numpy as np

class BV:
    
    def __init__(self,u,x,k,p,l):
        # construir a matriz L , lambda e o target T
        # Ver se esta transformação está correta consoante a definição.
        self.param_lambda = 2^(k+1)
        self.L = self.param_lambda * p * matrix.identity(l) # Esta linha está a dar FLINT exception (Erros de memória acho eu).
        self.L = self.L.transpose()
        self.L = self.L.insert_row(l,zero_vector(l))
        self.L = self.L.transpose()
        temp_x = [self.param_lambda * i for i in x]
        temp_x.append(1)
        self.L = self.L.insert_row(l,temp_x)
        self.target = [self.param_lambda * i for i in u]
        self.target.append(0)
        
    
    def solve(self,x,p,l):
        L = matrix(self.L.reduced_basis)
        t = matrix(1,l+1,list(-self.target))
        zero = matrix(l+1,1,[0]*(l+1))
        M = matrix(1,1,ZZ.random_element(p))
        L1 = block_matrix(2,2,[[L,zero],[t,M]])
        ret = fmi.IntegerLattice(L1).reduced_basis
        error1 = np.array(ret[l+1][:-1])
        y1 = error1 + self.target
        print 'error'
        print tuple(error1)
        print 'vector'
        print tuple(y1)
        

### Teste ao algoritmo de Boneh & Venkatesan

In [67]:
# Estes parâmetros têm que ser substituídos pelos verdadeiros.
# x possui l elementos gerados aleatoriamente entre 0 e p-1.
# u possui l elementos, onde cada ui é igual ao inteiro representativo dos k bits mais significativos de s*xi
# Ver valores de l,k e p que sejam realistas e bons para resolver.
# Calcular os vetores x (aleatorio) e u(calculado a partir do aleatorio com o segredo.)
l = 2^16
k = 64
p = 2^128
x_vector = generate_l_random_elements(l,p)
oracle = HNPOracle(p)
u_vector = oracle.calculate_u_vector(x_vector,k,p)
bv = BV(u_vector,x_vector,k,p,l)
bv.solve(x_vector(p,l))

RuntimeError: FLINT exception

## Esquema de assinaturas FALCON

Esta secção tem como propósito definir uma classe **Python** que implemente o esquema de assinaturas **FALCON** e, nesse sentido, este esquema fornece uma operação de inicialização da instância e dos seus parâmetros, uma operação para assinatura de mensagens e uma operação para verificação de uma assinatura com base numa mensagem.

### Definição do esquema FALCON

In [None]:
class FALCON:
    
    def __init__(self):
        # Gerar polinómios f,g,F e G (NTRUGen).
        
    def sign(self,msg):
        
    def verify(self,msg,sig):

### Teste ao esquema FALCON

In [47]:
matrix?

## Estudo de parâmetros em ataques de redução de bases

## Conclusão

## Referências