# Trabalho Prático 1 de Estruturas Criptográficas

  - **Autores:** (Grupo 9)
      - Nelson Faria (A84727)
      - Miguel Oliveira (A83819)

## Exercício 2

In [139]:
# Imports necessários à execução deste notebook
import os, hashlib

#from cryptography.hazmat.backends import default_backend
#from cryptography.hazmat.primitives.ciphers.aead import AESGCM

### Alínea a - Construir uma classe Python que implemente um KEM-RSA

A classe deve:
  - Inicializar cada instância recebendo  o parâmetro de segurança (tamanho em bits do módulo RSA) e gere as chaves pública e privada.
  - Conter funções para encapsulamento e revelação da chave gerada.

In [3]:
# Classe que implementa o KEM_RSA (Key Encapsulation Mechanism) baseado no RSA
# Baseamo-nos em: https://doc.sagemath.org/html/en/thematic_tutorials/numtheory_rsa.html
#                 https://docs.python.org/3/library/hashlib.html

class KEM_RSA(object):
    
    def __init__(self, N, timeout=None):
        
        # Obter um primo aleatorio para o parametro q do rsa no intervalo [2^(N-1);2^N-1]
        self.q = self.primoAleatorio(N)
        # Obter um primo aleatorio para o parametro p do rsa no intervalo [2^(N+1-1);2^(N+1)-1]
        self.p = self.primoAleatorio(N + 1)
        # n = p * q
        self.n = self.p * self.q
        # Funcao totiente de euler = (p-1)*(q-1)
        self.phi = (self.p-1)*(self.q-1)
        # Escolher um inteiro aleatorio e entre 1 < e < φ(n) e que e e φ(n) sejam relativamente primos
        self.e = ZZ.random_element(self.phi)
        while gcd(self.e, self.phi) != 1:
            self.e = ZZ.random_element(self.phi)
        
        # Para calcular d, usamos o 'extended Euclidean algorithm': de−k⋅φ(n)=1 -> Assimm, so precisamos de descobrir d e -k
        # xgcd(x, y) retorna um triplo (g, s, t) que satisfaz a identidade de Bézout: g=gcd(x,y)=sx+ty 
        self.bezout = xgcd(self.e, self.phi)
        # d = mod(s,φ(n)), uma vez que 1 < d < φ(n)
        self.d = Integer(mod(self.bezout[1], self.phi))
        
          
    # Retorna um primo aleatorio entre 2^(N-1) e 2^N - 1
    def primoAleatorio(self, N):
        
        return random_prime(2**N-1,False,2**(N-1))

    
    # Funcao que serve para encapsular a chave que for acordada a partir de uma chave publica
    def encapsula(self, e, n):
        
        # Escolher um inteiro aleatorio r entre 0 < r < n 
        r = ZZ.random_element(n)
        
        # Criptograma com este inteiro usado para o encapsulamento da chave (c ← r^e mod n)
        c = Integer(power_mod(r, e, n))
        
        # Gerar o salt para derivar a chave
        salt = os.urandom(16)
        # Geracao da chave simetrica a partir do r (W ← KDF(r))
        w = hashlib.pbkdf2_hmac('sha256', str(r).encode(), salt, 100000)
        
        return (w, salt + str(c).encode())
    
    
    # Funcao usada para desencapsular uma chave, a partir do seu "encapsulamento"
    def desencapsula(self, cs):
        
        # Buscar os 16 primeiros bytes para obter o salt e o restante é o "encapsulamento" da chave
        salt = cs[:16]
        c = int(cs[16:].decode())
        
        # Obter o r (r ← c^d mod n) com o algoritmo power_mod
        r = Integer(power_mod(c, self.d, self.n))
        
        # Geracao da chave simetrica a partir do r (W ← KDF(r))
        w = hashlib.pbkdf2_hmac('sha256', str(r).encode(), salt, 100000)
        
        return w
        

**Testagem da classe definida acima:**

In [4]:
# Parametro de seguranca
N = 1024

# Chave publica: (n,e)
# Chave privada: (p,q,d)
# Inicializacao da classe responsavel por implementar o KEM-RSA
kemrsa = KEM_RSA(N)

# Verificar que ed == 1 (mod φ(n))
#print(mod(kemrsa.e * kemrsa.d, kemrsa.phi))

# Procede-se ao encapsulamento
(w,c) = kemrsa.encapsula(kemrsa.e, kemrsa.n)

print("Chave devolvida pelo encapsulamento: ")
print(w)
print("\n'Encapsulamento' da chave: ")
print(c)

# Procede-se ao desencapsulamento
w1 = kemrsa.desencapsula(c)
print("\nChave devolvida pelo desencapsulamento: ")
print(w1)

Chave devolvida pelo encapsulamento: 
b'\xbe\x8fp\xe3\xe2I\xa3\xca\x8c\xf1\xa5\xf0\xb0R!\x1f\xaa\xe7\x1d\xf0e\xf0\xaf,\x17\x19D\xbf\x04\xf5rT'

'Encapsulamento' da chave: 
b'\x19\x10\xdb\x0c\x9e;\x02N\xec\xfd2\xdd\xae\xed\x7f\xe221022107257581224947288557096205648019279201850933679188454880369826699628577151787516501467549899306133629173196961097882905579825604186850976899614025863625491400124231164740174504940636425578697242456494002491744230151925328109926000626912358190313101086624054993376199724857116787653044832020700941989990887653238377296947988657244459896404112447253113695672447611168543089655846277841547420038055486700417825675514566082253861731660306597465307306247622189145196853316898875416448256734076756221004434612584511398359623463207113669849666232393318351535547639266799564539500712085710154048897316254638335427611821'

Chave devolvida pelo desencapsulamento: 
b'\xbe\x8fp\xe3\xe2I\xa3\xca\x8c\xf1\xa5\xf0\xb0R!\x1f\xaa\xe7\x1d\xf0e\xf0\xaf,\x17\x19D\xbf\x04\xf5rT'


### Alínea b - Construir,  a partir do KEM definido anteriormente e usando a transformação de Fujisaki-Okamoto, um PKE que seja IND-CCA seguro.

In [5]:
# Classe que implementa um PKE_IND_CCA (Public Key Encryption) a partir do KEM_RSA e da transformação de Fujisaki-Okamoto
# Baseamo-nos em: https://doc.sagemath.org/html/en/thematic_tutorials/numtheory_rsa.html
#                 https://docs.python.org/3/library/hashlib.html

class PKE_IND_CCA(object):
    
    def __init__(self, N, timeout=None):
        
        self.kem = KEM_RSA(N)
    
    
    # Funcao usada para cifrar que recebe a mensagem e uma chave publica (e,n)
    def cifra(self, m, e, n):
        
        # Obter a chave e o seu 'encapsulamento'
        (w,c) = self.kem.encapsula(e,n)
        # Cifrar a mesagem com a chave simetrica
        iv = os.urandom(12)
        encryptor = Cipher(algorithms.AES(w),
                           modes.GCM(iv),
                           backend=default_backend()).encryptor()
        ciphertext = encryptor.update(m) + encryptor.finalize()
        return (c,ciphertext,encryptor.tag,iv)
    
    
    # Funcao usada para decifrar que recebe o criptograma, o 'encapsulamento' da chave, a tag e o vetor inicializacao
    def decifra(self, ciphertext, c, tag, iv):
        
        # Fazer o desencapsulamento da chave
        w = self.kem.desencapsula(c)
        # decifrar o criptograma a partir da chave obtida
        decryptor = Cipher(algorithms.AES(w),
                           modes.GCM(iv,tag),
                           backend=default_backend()).decryptor()
        return decryptor.update(ciphertext) + decryptor.finalize()
        
    

In [2]:
pke = PKE_IND_CCA(1024)

(c,ciphertext,tag,iv) = pke.cifra("Nelson Faria", pke.kem.e, pke.kem.n)

print("Texto cifrado:")
print(ciphertext)

print("\nTexto decifrado:")
print(pke.decifra(ciphertext, c, tag, iv))

NameError: name 'PKE_IND_CCA' is not defined

### Alínea c - Construir uma classe Python que implemente o DSA (*Digital Signature Algorithm*). 

A implementação deve:
  - na inicialização,  receber como parâmetros o tamanho  dos primos $p$ e $q$; 
  - deve conter funções para assinar digitalmente e verificar a assinatura.

In [69]:
# Classe que implementa o algoritmo de assinatura digital(DSA) 
# Baseamo-nos em: https://en.wikipedia.org/wiki/Digital_Signature_Algorithm
#                 https://doc.sagemath.org/html/en/developer/coding_in_python.html

class DSA(object):
    
    def __init__(self, L, N, timeout=None):
        
        # Escolha de um numero primo q grande
        self.q = Integer(self.primoAleatorio(N))
        # Escolha de um numero primo p grande, em que p-1 seja multiplo de q
        self.p = 1
        while (not is_prime(self.p)):
            # Como 2^(L-1) < p < 2^L e 2^(N-1) < q < 2^N, seguimos a logica seguinte: 2^(L-N) * 2^N = 2^(L-N+N) = 2^L
            # Além disso, Se n for aleatorio, 2*n + 1 tambem é
            # p := (2^(L-N-1) + 2*random(1,2^(L-N-2))) * q + 1
            self.p = (2^(L-N-1) + 2*ZZ.random_element(1, 2^(L-N-2)))*self.q + 1  
        # calcular o gerador g tal que tal que g := h^(p-1)/q mod p, com , com g != 1
        self.g = 1
        while self.g == 1:
            # Escolher um inteiro aleatorio h entre 1 < h < p-1 
            h = ZZ.random_element(2, self.p-1)
            self.g = power_mod(h, (self.p-1) // self.q, self.p)
        # Gerar a chave privada x aleatoriamente entre 1 e q-1
        self.x = ZZ.random_element(1, self.q)
        # Gerar a chave pública y := g^x mod p
        self.y = Integer(power_mod(self.g, self.x, self.p))
    
    
    # Retorna um primo aleatorio entre 2^(N-1) e 2^N
    def primoAleatorio(self, N):
        
        return random_prime(2**N,False,2**(N-1))
    
    
    # Funcao usada para assinar uma determinada mensagem
    def assina(self, message):
        
        # Criacao do par da assinatura DSA (r,s)
        r = 0   # r != 0
        s = 0   # s != 0
        while r == 0 or s == 0:
            # Gerar um inteiro aleatorio k entre 1 e q-1
            k = ZZ.random_element(1,self.q)
            # r := (g^k mod p) mod q, com r != 0
            #r = Integer(mod(power_mod(self.g, k, self.p), self.q))
            r = ( ( power_mod(self.g, k, self.p) ) % self.p ) % self.q
            # s := (k^-1 (H(m) + xr)) mod q, com s != 0
            #s = Integer(mod(inverse_mod(k, self.q) * mod((hash(message) + self.x*r), self.q), self.q))
            s = ( ( k^-1 ) * ( hash ( message ) + self.x * r ) ) % self.q
    
        # Assinatura = (r,s)
        return (r,s)
    
    
    # Funcao que verifica uma determinada assinatura a partir da mensagem original e da chave publica 
    def verifica(self, signature, message, y):
        
        # Retirar os valores de r e s
        r = signature[0]
        s = signature[1]
        # Verificar que os valores de r e s estao entre 0 e q
        if r > 0 and r < self.q and s > 0 and s < self.q:
            
            # Calcular w := s^-1 mod q
            #w = Integer(inverse_mod(s, self.q))
            w = (s^-1) % self.q
            # Calcular u1 := H(m).w mod q
            #u1 = Integer(mod(hash(message) * w, self.q))
            u1 = (hash (message) * w) % self.q
            # Calcular u2 := r.w mod q
            #u2 = Integer(mod(r * w, self.q))
            u2 = (r * w) % self.q
            # Calcular v := (g^u1 * y^u2 mod p) mod q
            #v = Integer(mod(mod(power_mod(self.g, u1, self.p) * power_mod(y, u2, self.p), self.p), self.q))
            v = ( ( (power_mod(self.g, u1, self.p)) * power_mod(y, u2, self.p) ) % self.p ) % self.q
            print("V = " + str(v))
        
        else:
            return False
        
        return v == r
        

**Testagem da classe definida acima:**

In [70]:
# Tamanhos para os parametros p e q
L = 2048
N = 256

dsa = DSA(L,N)

print("P = " + str(dsa.p))
print("Q = " + str(dsa.q))

# Teste de uma assinatura e verificacao
message = input("Insira a mensagem a assinar:")
assinatura = dsa.assina(message.encode("utf-8"))
print("R = " + str(assinatura[0]))
print("S = " + str(assinatura[1]))
if dsa.verifica(assinatura, message.encode("utf-8"), dsa.y):
    print("A assinatura é válida!!!!")
else:
    print("A assinatura é inválida!!!!")


P = 22407789862361023859096284877495259451480911399786420417538618489888479295705654809007233475142541012408059237288250887486895837024575233491109457866966165229736273511052471859485475056031065307370860430671226443174352174126026687920794417250018346550506262344964006938657377532082034248957867827939217463326134568140070988592400143387310477786348610266226559120676023300928779493342560813843816870537967633975584895434585042598221250477067553462919811727546073458651803543618760419893957487474942191685467265688898373236269088341242290549723432854036771504474017083557902781753459422705237714282202067971938020296949
Q = 102619326894726651758768312865982247770204777742697595988351041844766998188219
Insira a mensagem a assinar:Estruturas Criptográficas
R = 29343814065905615446011671779628398128065525118167652408177523043125943998396
S = 1630009452543416293214153847161104177151392832322679073833821494308696031419
V = 29343814065905615446011671779628398128065525118167652408177523043125943998

**Geração do parâmetro $p$**

Se dissermos que $q$ é então um número primo aleatório, então p = $2*q + 1$ pode ser testado para ver se é primo, sendo que tem ainda garantida a característica de $p-1$ ser múltiplo de $q$.

Dentro disto, aquilo que fizemos foi precisamente isto, mas de forma a que este valor esteja no intervalo $[2^{L-1},2^{L}]$ e, além disso seja primo e aleatório!!!

Por isso, o que se pensou fazer para $p$ foi múltiplicar o 2 por um número aleatório entre $[1,2^{L-N-2}]$ e somar-lhe o limite inferior para o parâmetro $p$, pelo que depois foi só seguir a seguinte regra da matemática:

$2^X + 2*(2^Y) <=> 2^{X+Y+1}$

Se X = 47 e Y = 16, então $2^{47} + 2*(2^{16}) = 2^{47+16+1} = 2^{64}$

Com isto conseguimos arranjar a seguinte solução mais ou menos eficiente: $p := (2^{L-N-1} + 2*random(1,2^{L-N-2})) * q + 1$



In [67]:
2^47 + 2*(2^45)

211106232532992

In [71]:
22407789862361023859096284877495259451480911399786420417538618489888479295705654809007233475142541012408059237288250887486895837024575233491109457866966165229736273511052471859485475056031065307370860430671226443174352174126026687920794417250018346550506262344964006938657377532082034248957867827939217463326134568140070988592400143387310477786348610266226559120676023300928779493342560813843816870537967633975584895434585042598221250477067553462919811727546073458651803543618760419893957487474942191685467265688898373236269088341242290549723432854036771504474017083557902781753459422705237714282202067971938020296949.nbits()

2048

### Alínea d -  Construir uma classe Python que implemente o ECDSA usando uma das curvas elípticas primas definidas no FIPS186-4  (escolhida  na iniciação da classe).
