# Trabalho Prático 3 de Estruturas Criptográficas

- **Autores:** (Grupo 9)
     - Nelson Faria (A84727)
     - Miguel Oliveira (A83819)

## *Esquemas pós-quânticos de assinaturas digitais* - CRYSTALS-Dilithium

Nota: Baseado no documento CRYSTALS-Dilithium (https://pq-crystals.org/dilithium/data/dilithium-specification-round3-20210208.pdf)

### Detalhes acerca do algorítmo base

Dos três esquemas pós-quânticos de assinaturas digitais propostos no enunciado do trabalho (*qTesla*, *Dilithium* e *Rainbow*), um dos que escolhemos fazer foi o **Dilithium** cuja segurança se baseia na dificuldade em encontrar vetores curtos em *lattices*. Para além disto e indo ao encontro do que é mencionado do documento mencionado acima, o 
**Dilithium** foi desenhado tendo em mente os seguintes critérios:

  - Simple to implement securely
  - Be conservative with parameters
  - Minimize the size of public key + signature
  - Be modular – easy to vary security

De seguida, tentaremos explicar unicamente as três principais funções que devem ser chamadas nesta classe: **Gen()**, **Sign()** e **Verify()**.

**Geração da chave pública *($\rho$,$t_1$)* e da chave privada ($\rho$,K,tr,$s_1$,$s_2$,$t_0$) *(função Gen())***

O algorítmo de geração de chaves gera uma **matriz A**, k $\times$ l, para a qual cada uma das suas entradas é um **polinímio** pertencente ao **anel** **Rq = Zq[X]/(Xn + 1)**. Importa referir que, para este contexto em particular, , temos sempre que **q = $2^{23}$ − $2^{13}$ + 1** e **n = 256**. De seguida, o algorítmo trata de gerar 2 vetores privados, **s1** e **s2**. Finalmente, a segunda parte da chave pública é calculada como sendo **t = As1 + s2**. Todas as operações algébricas neste esquema são assumidas como sendo sobre o *polynomial ring* **Rq**.


**Assinatura *(função Sign())***

O algorítmo de **assinatura** gera um *masking vector* de polinómios, y com coeficientes menores que $\gamma_1$. Esse mesmo parâmetro é definido de forma estratégica – **é grande o suficiente para que a assinatura não revele a chve secreta** (i.e. o algorítmo de assinatura é
*zero-knowledge*), mas também **pequeno o suficiente para que a assinatura não seja facilmente forjada**.

De seguida, é computado **Ay**
then computes Ay and sets w1 to be the “high-order” bits of the coefficients in this
vector
  

**Verificação *(função Verify())***

  - Recebe como argumentos a mensagem original, a assinatura digital a verificar e a chave pública;
  - Inicialmente, começa por calcular o encoding **c** através da componente **c'** da assinatura digital;
  - Depois, calcula-se **w** através da expressão: *w = a*z - t*c* pertencente a **Rq**, sendo que este resultado também deve ser arredondado para ficar entre [-q/2,q/2-1];
  - A seguir, verifica-se se **c'** é diferente do hash de **v** com o hash da mensagem, pelo que se for retorna -1 e a verificação falha, caso contrário retorna 0 e a assinatura é válida.
  


In [52]:
import hashlib

class Dilithium(object):
    
    def __init__(self, q=8380417, d=13, tau=39, chall_ent=192, gama1=2^17, gama2=95232, k=4, l=4, eta=2, beta=78, omega=80, reps=4.25):
        
        self.q = q
        self.d = d
        self.tau = tau
        self.chall_ent = chall_ent
        self.gama1 = gama1
        self.gama2 = gama2
        self.k = k
        self.l = l
        self.eta = eta
        self.beta = beta
        self.omega = omega
        self.reps = reps
            
    '''
    Implementação da função H() responsável por gerar 
    um digest com 256-bit de comprimento (32 bytes)
    '''        
    def H(self, x):
        h = hashlib.shake_256()
        h.update(x)
        return h.digest(int(32))
    
    '''
    Implementação da função H() responsável por gerar 
    um digest com (256+512+256)-bit (128 bytes) de comprimento
    '''
    def H3(self, x):
        h = hashlib.shake_256()
        h.update(x)
        buffer = h.digest(int(128))
        return (buffer[:32], buffer[32:96], buffer[-32:])
    
    '''
    Implementação da função SampleInBall descrita 
    no documento onde se encontra a especificação 
    do dilithium
    '''
    def SampleInBall(self, rho):
        random.seed(a=rho, version=2)
        c = []
        for i in range(256):
            c.append(0)
        
        for i in range(256 - 39, 256):
            j = random.randint(0, i)
            s = random.randint(0, 1)
            c[i] = c[j]
            c[j] = (-1)^s
        
        return c
    
    '''
    Implementação da função Power2Round
    '''
    def Power2Round(self, r, d):
        r = r % self.q
    
        r0 = r % (2^d)
        r0 = r0 - (2^(d-1))
    
        return ((r - r0)//(2^d)), r0
    
    '''
    Implementação da função MakeHint
    '''
    def MakeHint(self, z, r, alpha):
        r1 = self.HighBits(r, alpha)
        v1 = self.HighBits(r + z, alpha)
    
        return r1 != v1
    
    
    '''
    Implementação da função UseHint
    '''
    def UseHint(self, h, r, alpha):
        m = (self.q - 1)//alpha
        (r1, r0) = self.Decompose(r, alpha)
        if h == 1 & r0 > 0:
            return (r + 1) % m
        if h == 1 & r0 <= 0:
            return (r - 1) % m
        return r1
    
    '''
    Implementação da função HighBits
    '''
    def HighBits(self, r, alpha):
        (r1, r0) = self.Decompose(r, alpha)
        return r1
    
    '''
    Implementação da função LowBits
    '''
    def LowBitsq(self, r, alpha):
        (r1, r0) = self.Decompose(r, alpha)
        return r0
    
    '''
    Implementação da função Decompose
    '''
    def Decompose(self, r, alpha):
        r = r % self.q
    
        r0 = r % alpha
        r0 = r0 - (alpha//2)
    
        if r - r0 == self.q - 1:
            r1 = 0
            r0 = r0 - 1
        else:
            r1 = (r - r0)//alpha
        
        return (r1, r0)
    
    '''
    Função que representa o seguinte comportamento: 
    modulo_infinito(w) < condição
    '''
    def size_of_elements_low(self, w, cond):
        x = w % self.q
        x = x - (self.q//2)
        if x < 0:
            x = -x
        
        return x < cond
    
    '''
    Função que representa o seguinte comportamento: 
    modulo_infinito(w) >= condição
    '''
    def size_of_elements_bige(self, w, cond):
        x = w % self.q
        x = x - (self.q//2)
        if x < 0:
            x = -x
        
        return x >= cond
    
    '''
    Função que representa a seguinte condição:
    # 1's in w is greater than $cond
    '''
    def number_of_1s_big(self, w, cond):
        counter = 0
        aux = w
        while aux > 0:
            if aux % 2:
                counter += 1
            aux = aux // 2
        
        return counter > cond
    
    '''
    Função que representa a seguinte condição:
    # 1's in w is lower or equal than $cond
    '''
    def number_of_1s_lowe(self, w, cond):
        counter = 0
        aux = w
        while aux > 0:
            if aux % 2:
                counter += 1
            aux = aux // 2
        
        return counter <= cond
    
    '''
    Implementação da função ExpandA
    '''
    def ExpandA(self, x):
        return 0
    
    '''
    Implementação da função ExpandS
    '''
    def ExpandS(self, x):
        return 0
    
    '''
    Implementação da função ExpandMask
    '''
    def ExpandMask(self, x1, x2):
        return 0
    
    '''
    Implementação do algorítmo NTT a um 
    vetor cujos elementos pertencem a Rq
    '''
    def NTTvec(self, a):
        psi = []
        t = 2^13
        m = 1
        while m < 2^13:
            t = t//2
            for i in range(m):
                j1 = 2 * i * t
                j2 = j1 + t - 1
                S = 'sadsadasdsadasda'
                for j in range(j1, j2+1):
                    U = a[j]
                    V = a[j + t] * S
                    a[j] = (U + V) % q
                    a[j + t] = (U - V) % q
            m = m*2
        return a
    
    '''
    Implementação do algorítmo de inversa de NTT a um 
    vetor cujos elementos pertencem a Rq
    '''
    def INTTvec(self, a):
        return 0
    
    '''
    Implementação do algorítmo de NTT a uma
    matrix cujos elementos pertencem a Rq
    '''
    def NTTmat(self, M):
        return 0
    
    '''
    Implementação do algorítmo de inversa de NTT a uma
    matrix cujos elementos pertencem a Rq
    '''
    def INTTmat(self, M):
        return 0
    
    '''
    Função responsável pela geração de ambas 
    as chaves, pública e privada.
    '''
    def Gen(self):
        
        zeta = os.urandom(32)
    
        (rho, rhol, K) = self.H3(zeta)
    
        A = self.ExpandA(rho)
        Acirc = self.NTTmat(A)
    
        (s1, s2) = self.ExpandS(rhol)
    
        As1 = self.INTTvec(Acirc*self.NTTvec(s1))
        t = As1 + s2
    
        (t1, t0) = self.Power2Round(t,self.d)
        
        tr = self.H(rho + t1)
     
        pk = (rho, t1)
        sk = (rho, K, tr, s1, s2, t0)
        return pk, sk
    
    '''
    Função responsável por assinar uma mensagem 
    'M' com uma determinada chave privada 'sk'
    '''
    def Sign(self, sk, M):
        sk = (rho, K, tr, s1, s2, t0)
    
        A = self.ExpandA(rho)
        Acirc = self.NTTmat(A)
    
        mu = self.H(tr + M)
    
        kappa = 0
        z = 0; h = 0
    
        rhol = self.H(K + mu)
    
        s1circ = self.NTTvec(s1)
        s2circ = self.NTTvec(s2)
        t0circ = self.NTTvec(t0)
        while z == 0 & h == 0:
        
            y = self.ExpandMask(rhol, kappa)
        
            w = self.INTTvec(Acirc * NTTvec(y))
        
            w1 = self.HighBits(w, 2 * self.gama2)
        
            ctil = self.H(mu, w1)
         
            c = self.SampleInBall(ctil)
            ccirc = self.NTT(c)
        
            cs1 = self.INTTvec(ccirc*s1circ)
            z = y + cs1
        
            cs2 = self.INTTvec(ccirc*s2circ)
            r0 = self.LowBits(w-cs2, 2 * self.gama2)
        
            if self.size_of_elements_bige(z, self.gama1 - self.beta) | self.size_of_elements_bige(e0, self.gama2 - self.beta):
                z = 0
                h = 0
            else:
                ct0 = self.INTTvec(ccirc * t0circ)
                h = self.MakeHint(-ct0, w - cs2 + ct0, 2 * self.gama2)
                if self.size_of_elements_bige(ct0 , self.gama2) | self.number_of_1s_big(h, self.omega):
                    z = 0
                    h = 0
            kappa = kappa + l
    
        sigma = (ctil, z, h)
        return sigma
    
    '''
    Função que verifica a assinatura de uma mensagem 
    com uma determinada chave pública
    '''
    def Verify(self, pk, M, sigma):
        pk = (rho, t1)
        sigma = (ctil, z, h)
        
        A = self.ExpandA(rho)
        Acirc = self.NTTmat(A)
    
        mu = self.H(self.H(rho + t1) + M)
    
        c = self.SampleInBall(ctil)
    
        wl1 = self.UseHint(h, self.INTTvec((Acirc * self.NTTvec(z)) - (self.NTTvec(c) * self.NTTvec(t1*(2^13)))))
    
        return self.size_of_elements_low(z, self.gama1 - self.beta) & ctil == self.H(mu + wl1) & self.number_of_1s_lowe(h, self.omega)
    
    
    

#### Testagem da classe definida acima:

In [53]:
D = Dilithium()

pub,priv = D.Gen()

TypeError: cannot unpack non-iterable sage.rings.integer.Integer object