<div style="width: 100%; clear: both;">
    <div style="float: left; width: 50%;">
       <img src="http://www.uoc.edu/portal/_resources/common/imatges/marca_UOC/UOC_Masterbrand.jpg", align="left">
    </div>
</div>

<div style="float: right; width: 50%;">
    <p style="margin: 0; padding-top: 22px; text-align:right;">M1.871 · Privacidad</p>
    <p style="margin: 0; text-align:right;">Máster Universitario en Ciberseguridad y Privacidad</p>
    <p style="margin: 0; text-align:right; padding-button: 100px;">Estudios de Informática, Multimedia y Telecomunicación</p>
</div>

</div>
<div style="width: 100%; clear: both;">
<div style="width:100%;">&nbsp;</div>

Privacidad
============================

--- 

Ejercicios resueltos - Protocolos criptográficos
-----------------------------------------------------

---

### Instrucciones de uso

Este *notebook* contiene un conjunto de ejercicios sobre protocolos criptográficos que permiten preservar la privacidad, que os pueden servir para practicar los conceptos explicados en los módulos teóricos.

Os recomendamos que intentéis hacer estos problemas vosotros mismos y que, una vez realizados, comparéis la solución que os proponemos con la vuestra. No dudéis en dirigir al foro del aula todas las dudas que surjan de la resolución de estos ejercicios o bien de las soluciones propuestas.

Para hacer las actividades propuestas, tendríais que estar familiarizados con la programación en Python. Si no habéis programado nunca usando este lenguaje, os recomendamos que reviséis las unidades de introducción a la programación Python que encontraréis en el aula.


### Introducción

En estos ejercicios implementaremos un conjunto de protocolos criptográficos que se encuentran en el módulo teórico de protocolos criptográficos. Estos protocolos se ejecutan entre un conjunto de agentes o entidades (normalmente dos, pero, para algunos protocolos, pueden ser más). Para implementar estas entidades, usaremos programación orientada a objetos: cada entidad estará representada por una clase de Python. Los métodos de las clases implementarán las diferentes acciones que puede hacer cada entidad. Así, las actividades consistirán, por un lado, en implementar los métodos de las clases que representan los actores de cada protocolo y, por otro lado, en ejecutar el protocolo completo haciendo interactuar los diferentes actores. Adicionalmente, podéis crear las funciones auxiliares que consideréis de interés para resolver los ejercicios.

A continuación encontraréis una pequeña [introducción en la programación orientada a objetos en Python](#1.-Introducción-a-la-programación-orientada-a-objetos-en-Python), donde se explican los conceptos clave de este paradigma de programación (que serán necesarios para resolver las actividades), así como la [definición de funciones y variables auxiliares](#2.--Definición-de-funciones-y-variables-auxiliares) que podéis usar en la implementación de los protocolos.

Después, se incluyen los enunciados de dos actividades:
* [Ejercicio 1](#3.-La-prueba-de-conocimiento-nulo-del-logaritmo-discreto): La prueba de conocimiento nulo del logaritmo discreto
* [Ejercicio 2](#4.-El-protocolo-de-PIR-de-Kushilevitz-y-Ostrovsky): El protocolo de PIR de Kushilevitz y Ostrovsky

**Nota:** Las dos celdas de código siguientes permiten activar las alertas de estilo para el código de este *notebook*. Si queréis comprobar que vuestro código sigue la guía de estilo de Python, podéis descomentarlas y ejecutarlas. A partir de entonces, cualquier otra celda de código que se ejecute pasará una revisión de estilo y se mostrarán alertas que avisarán de las líneas de código que no cumplan con la guía, informando de cuál es el problema detectado.

In [1]:
%load_ext pycodestyle_magic

ModuleNotFoundError: No module named 'pycodestyle_magic'

In [None]:
%pycodestyle_on

# 1. Introducción a la programación orientada a objetos en Python

Python nos permite crear clases, de forma que podemos aprovechar todas las ventajas de la programación orientada a objetos también en este lenguaje. En esta sección, presentaremos las funcionalidades más esenciales de las clases de Python y aprovecharemos para repasar los conceptos básicos de programación orientada a objetos.

Para **definir** una clase en Python usamos la palabra clave `class`. Dentro de una clase podremos definir un conjunto de **métodos**, que no son más que funciones que sirven de interfaz de la clase con lo que hay fuera de esta. 

In [1]:
class Client:

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key

Del mismo modo que con la definición de funciones, la definición de una clase es solo una descripción de esta. Por lo tanto, al describir una clase no estamos ejecutando nada. Para crear un objeto de una clase, necesitaremos ***instanciar*** esta clase. La notación que se usa en Python para crear una instancia de una clase consiste en usar el nombre de la clase seguido de dos paréntesis, como si fuera una llamada a una función:


In [2]:
un_cliente = Client()

De este modo, la variable `un_cliente` contiene una instancia de la clase `Client`. Esto nos crearía un cliente sin datos. A veces, sin embargo, nos puede interesar personalizar esta inicialización. Las clases tienen un método especial que se denomina **constructor** (`__init__`) y que se llama cuando se tiene que instanciar una clase. Así pues, si incluimos este método especial en nuestra clase, el método se invocará cuando se instancie un nuevo objeto. 

In [3]:
class Client:

    def __init__(self):
        self.alpha = 3
        self.a = 221
        self.p = 1087

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


un_cliente = Client()

Ahora, al crear un objeto de la clase `Client`, el objeto contendría una variable con los tres valores especificados. Adicionalmente, el método `__init__` acepta parámetros, lo que nos permite personalizar todavía más la inicialización de los objetos de nuestra clase.

In [4]:
class Client:

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


un_cliente = Client(3, 221, 1087)
otro_cliente = Client(3, 254, 1087)

Con este código, especificaremos los tres parámetros que queremos que almacene cada cliente en el momento de instanciar la clase. De este modo, podemos crear dos objetos de la clase cliente, cada uno de los cuales tiene unos parámetros diferentes almacenados.

Una vez tenemos una instancia de una clase, podemos invocar los métodos. Para hacerlo, usaremos el nombre del objeto seguido de un punto, el nombre del método y unos paréntesis entre los que incluiremos los argumentos:

In [5]:
un_cliente.shared_key(679)

731

En los ejemplos de código que hemos visto hasta ahora puede parecer que hay un error: el número de argumentos que usamos al instanciar el objeto o llamar a los métodos es diferente del número de argumentos que hay en la definición de los respectivos métodos. Precisamente, lo que distingue los métodos de una clase de las funciones es que el primer argumento que reciben como parámetro es un objeto de la misma clase. Por convención, denominamos este primer argumento **`self`**. Así pues, la llamada a `blind_message` anterior es equivalente a:

In [6]:
Client.shared_key(un_cliente, 679)

731

Este primer argumento nos permite llamar métodos de la clase desde la misma clase:

In [7]:
class Client:

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key

    def call_shared_key(self, k_pub_counter_part):
        self.shared_key()

Otro detalle que podemos apreciar de los ejemplos son las asignaciones que se hacen a `self.alpha`, `self.a` y `self.p`, entre otros. Estas variables son **variables de instancia**, de forma que cada instancia de la clase `Client` tendrá su copia de estas variables. En Python también podemos definir **variables de clase**, que son variables que comparten todas las instancias de una misma clase. En el siguiente ejemplo, podemos ver la diferencia entre los dos tipos de variables:

In [8]:
class Client:

    shared_type = "DH"

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

In [9]:
cliente_1 = Client(3, 221, 1087)
cliente_2 = Client(3, 254, 1087)

print(cliente_1.alpha, cliente_1.a, cliente_1.p)
print(cliente_2.alpha, cliente_2.a, cliente_2.p)

3 221 1087
3 254 1087


In [10]:
print(Client.shared_type, cliente_1.shared_type, cliente_2.shared_type)
Client.shared_type = "ECDH"
print(Client.shared_type, cliente_1.shared_type, cliente_2.shared_type)

DH DH DH
ECDH ECDH ECDH


Hay que tener cuidado a la hora de modificar los valores de las variables de clase, puesto que hacerlo a través de los objetos puede tener resultados diferentes de los que esperaría el programador. El lector interesado puede consultar la extensa documentación en línea ([1](http://stackoverflow.com/questions/68645/static-class-variables-in-python), [2](http://anandology.com/python-practice-book/object_oriented_programming.html)) para adentrarse en el mundo de la programación orientada a objetos en Python, a pesar de que lo que hemos visto en esta sección es suficiente para realizar la práctica.

Finalmente, una vez tenemos definidos a los usuarios de nuestro protocolo como clases de Python, podemos implementar todo el protocolo haciendo llamadas a estas clases. Por ejemplo, la clase `Client` del ejemplo anterior corresponde a un usuario del protocolo de intercambio de claves de Diffie y Hellman. Por lo tanto, la implementación del protocolo sería la que se muestra a continuación. 

In [11]:
class Client:

    def __init__(self, alpha, a, p):
        self.alpha = alpha
        self.a = a
        self.p = p

    def public_value(self):
        self.k_pub = pow(self.alpha, self.a, self.p)
        return self.k_pub

    def shared_key(self, k_pub_counter_part):
        self.shared_key = pow(k_pub_counter_part, self.a, self.p)
        return self.shared_key


user_A = Client(3, 221, 1087)
user_B = Client(3, 254, 1087)

protocol_step_1 = user_A.public_value()
protocol_step_2 = user_B.public_value()
shared_key_A = user_A.shared_key(protocol_step_2)
shared_key_B = user_B.shared_key(protocol_step_1)

print("Shared key obtained by A = {}. Shared key obtained by B = {}".format(
            shared_key_A, shared_key_B))

Shared key obtained by A = 895. Shared key obtained by B = 895


# 2. Definición de funciones y variables auxiliares

La celda de código siguiente contiene definiciones de constantes, clases y funciones que se usan en la implementación de los protocolos criptográficos de este *notebook*. Veréis que estas definiciones se usan en los esqueletos que os proporcionamos como base para realizar las actividades. Además, podéis usar estas funciones para implementar vuestras soluciones siempre que lo necesitéis.

La clase `InvalidParams` (que hereda de la clase [`Exception`](https://docs.python.org/3/library/exceptions.html#Exception)) se usa para lanzar excepciones producidas por una inicialización de parámetros incorrecta. Por ejemplo, si tuviéramos una clase que almacenara claves RSA, podríamos usar `InvalidParams` para lanzar una excepción si se intenta crear un objeto de la clase RSA usando valores de $p$ y $q$ que no fueran primos.

La función `print_debug` se usa para mostrar mensajes por la salida estándar, condicionados a los niveles de *log* actual (indicado por la constante `LOG_LEVEL`) y del mensaje (indicado por el parámetro `log_level`). Así, la función mostrará en la pantalla el mensaje que reciba como primer parámetro si el nivel de *log* indicado por el mensaje es inferior o igual al nivel de *log* especificado por la constante `LOG_LEVEL`.

In [12]:
# Log level constants
LOG_CRITICAL = 0
LOG_INFO = 1
LOG_DEBUG = 2

# Current log level
LOG_LEVEL = LOG_CRITICAL


class InvalidParams(Exception):
    """
    Exception raised when the initialization params are not valid
    """
    pass


def print_debug(msg, log_level):
    """
    Prints a message if log_level <= LOG_LEVEL
    :param msg: string, the message to print
    :param log_level: int, message's level
    """
    if log_level <= LOG_LEVEL:
        print(msg)

# 3. La prueba de conocimiento nulo del logaritmo discreto

En este primer ejercicio implementaremos el protocolo de **prueba de conocimiento nulo** que está descrito en el módulo de *Protocolos criptográficos* de los materiales de la asignatura.

Así pues, nuestro protocolo estará formado por dos usuarios: un probador y un verificador. El probador querrá demostrar al verificador que conoce un valor secreto, pero sin revelarlo. 

Para que nuestro protocolo pueda ser implementado, usaremos programación orientada a objetos y definiremos dos clases, una para el probador y otra para el verificador.

La clase para el **probador** la definiremos de la manera siguiente:

In [29]:
from sympy.ntheory.residue_ntheory import is_primitive_root
from sympy.ntheory.primetest import isprime
import numpy as np

class UocZkpProver:
    """
    Class representing a honest prover. The prover knowns a value x
        such that g^x = y mod p, and wants to prove this knowledge
        without revealing x.
    """

    def __init__(self, p, g, y, x, name="HonestProver"):
        """
        Initializes the prover. Checks the validity of the arguments,
        sets the public parameters p, g, y and sets the
        secret x.

        This method has to initialize instance variables p, g, y and
        x (r will remain unset until compute_c method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param x: integer, secret
        :param name: optional string, name of the prover (to be used
            when printing data to the console)
        """

        self.p = None
        self.g = None
        self.y = None
        self.x = None
        self.r = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))
            if x is not None:
                assert (pow(g, x, p) == y)
        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y
        self.x = x

        print_debug("{}:\tInitialized with p = {}, g = {}, y = {} and x = {}".
                    format(self.name, self.p, self.g, self.y, self.x),
                    LOG_INFO)

    def compute_c(self):
        """
        Chooses a random r and computes c.

        This method must set self.r.
        :return: integer, c
        """

        c = None

        # --- IMPLEMENTATION GOES HERE ---
        self.r = np.random.randint(2, self.p - 1)
        c = pow(self.g, self.r) % self.p

        #self.r = randint(2, self.p - 1)  # 2 <= N <= p-1
        #print_debug("{}:\tI have chosen r = {}".format(self.name, self.r), LOG_INFO)
        #c = pow(self.g, self.r, self.p)

        # --------------------------------

        print_debug("{}:\tI amb sending c = {}".format(self.name, c), LOG_INFO)
        return c

    def compute_h(self, b):
        """
        Computes h for the given b.
        :param b: integer with a boolean value (0 or 1)
        :return: integer, h
        """

        h = None

        # --- IMPLEMENTATION GOES HERE ---
        h = (self.r + b * self.x) % (self.p - 1)
        # --------------------------------

        print_debug("{}:\tI amb sending h = {}".format(self.name, h), LOG_INFO)
        return h

Fijaos que el probador tiene como variables de instancia los parámetros del sistema `p` y `g`, el valor del cual quiere probar el logaritmo discreto `y` y el valor secreto `x` que corresponde justamente al logaritmo discreto de `y` en base `g` módulo `p`. También se tiene que poder guardar el valor `r` que generará en el primer paso del protocolo y que después utilizará en el tercer paso. A la hora de inicializar estos parámetros (en el constructor de la clase), se comprueba que sean válidos a través de sentencias `assert`. En la definición del probador también hay definidas dos acciones por medio de dos métodos. El primero calcula `c`, el valor necesario para el primer paso del protocolo. El segundo método calcula el valor `h`, necesario en el tercer paso del protocolo.

Por otro lado, de forma análoga definiremos una clase para el **verificador**:

In [30]:
class UocZkpVerifier:
    """
    Class representing a verifier. The verifier wants to known whether
        the prover has a value x such that g^x = y mod p.
    """

    def __init__(self, p, g, y, name="Verifier"):
        """
        Initializes the verifier. Checks the validity of the arguments,
            and sets the public parameters p, g, y.

        This method has to initialize instance variables p, g and y (c
            and b will remain unset until choose_b method is called).

        :param p: integer, modulus
        :param g: integer, base
        :param y: integer, g^x mod p
        :param name: optional string, name of the verifier (to be used
            when printing data to the console)
        """
        self.p = None
        self.g = None
        self.y = None
        self.c = None
        self.b = None
        self.name = name

        try:
            assert (isprime(p))
            assert (y < p)
            assert (is_primitive_root(g, p))

        except:
            raise InvalidParams

        self.p = p
        self.g = g
        self.y = y

        print_debug("{}:\t\tInitialized with p = {}, g = {} and y = {}".format(
            self.name, self.p, self.g, self.y), LOG_INFO)

    def choose_b(self, c):
        """
        Selects a random boolean b value.

        This method has to initialize instance variables b and c.
        :param c: integer, value c (received from the prover)
        :return: integer, b with the chosen boolean
        """

        # --- IMPLEMENTATION GOES HERE ---
        self.b = np.random.randint(0, 1)
        self.c = c
        # --------------------------------

        print_debug("{}:\t\tI have chosen b = {}".format(self.name, self.b),
                    LOG_INFO)
        return self.b

    def verify(self, h):
        """
        Verifies if the prover has correctly solved the challenge.

        :param h: integer, value h (received from the proves)
        :return: boolean, result of the proof
        """

        result = None

        # --- IMPLEMENTATION GOES HERE ---
        result = (self.c * pow(self.y, self.b)) % self.p == pow(self.g, h) % self.p
        # --------------------------------

        print_debug("{}:\t\tThe result of the verification is {}".format(
            self.name, result), LOG_INFO)
        return result

Igual que el probador, el verificador también almacena las variables correspondientes a los parámetros del sistema `p` y `g` y el valor `y` del que el probador conoce el logaritmo discreto. Evidentemente, el verificador no conoce el valor `x`. Por otro lado, en la definición del verificador también hay definidas dos acciones por medio de dos métodos. El primero elige el bit `b` necesario en el segundo paso del protocolo. El segundo método verifica la igualdad del paso 4 a partir de los valores que se han ido intercambiando en el protocolo.

Esta primera actividad consistirá, pues, en implementar los métodos de cálculo de los valores $c$ y $h$ de la clase del probador, y los métodos de selección del bit $b$ y verificación de la prueba, de la clase del verificador.

**Ejercicio 1.1.** Función que implementa el método `compute_c` de la clase del probador.

Este método implementará el paso 1 del protocolo. El método, sin recibir ningún parámetro, generará un valor aleatorio y devolverá el correspondiente valor `c`.
* El método no recibirá ningún parámetro.
* El método devolverá el valor `c` calculado en el paso 1 del protocolo (y actualizará las variables de instancia pertinentes).

**Ejercicio 1.2.** Función que implementa el método `compute_h` de la clase del probador.

Este método implementará el paso 3 del protocolo. El método recibirá el bit que ha elegido el verificador y  devolverá el correspondiente valor `h`.
* La variable `b` recibirá el bit elegido.
* La función devolverá el valor `h` del paso 3 del protocolo.

**Ejercicio 1.3.** Función que implementa el método `choose_b` de la clase del verificador.

Este método implementará el paso 2 del protocolo. El método, sin recibir ningún parámetro, devolverá un bit aleatorio.
* El método no recibirá ningún parámetro.
* El método devolverá el bit aleatorio `b` (y actualizará las variables de instancia pertinentes).

**Ejercicio 1.4.** Función que implementa el método `verify` de la clase del probador.

Este método implementará el paso 4 del protocolo. El método recibirá el valor `h` y devolverá cierto o falso en función de si la validación ha sido correcta o no.
* El parámetro `h` contendrá el valor proporcionado por el probador.
* El método devolverá `True` o `False`, en función de si la verificación es o no correcta.

**Ejercicio 1.5.** Función que implementa el protocolo.

Esta función implementará el protocolo entero entre probador y verificador. La función `challenge` recibirá como variables de entrada una instancia de la clase probador, una instancia de la clase verificador y el número de iteraciones que tiene que ejecutar el protocolo. La función ejecutará el protocolo de la prueba de conocimiento nulo tantas veces como se haya especificado y devolverá un booleano indicando si la ejecución ha tenido éxito y un float con la probabilidad que tenía un probador deshonesto de superar la prueba con éxito.
* El parámetro `prover` contendrá una instancia de la clase del probador.
* El parámetro `verifier` contendrá una instancia de la clase del verificador.
* El parámetro `num_times` contendrá el número de iteraciones que ejecutará el protocolo.
* La función devolverá una tupla `(A, B)` donde `A` será `True` o `False` en función de si el probador ha superado la prueba, y `B` la probabilidad de que un probador que desconozca el secreto pueda engañar al verificador.

Usad la función que acabáis de definir para ejecutar el protocolo entre un probador y un verificador usando 1 y 10 iteraciones, y:
* Comprobad que el probador es capaz de superar el reto.
* Mostrad la probabilidad teórica de engaño que tendría un probador que desconozca el secreto para los dos casos.

In [28]:
def challenge(prover, verifier, num_times=1):
    """
    Executes the full zero knowledge protocol between a prover and
        a verifier num_times times. The execution of the protocol
        is successful if the prover is able to convice the verifier
        in all the executions.

    :param prover: UocZkpProver object
    :param verifier: UocZkpVerifier object
    :param num_times: integer, number of times to execute the ZKP
    :return: 2-element tuple, a boolean indicating whether the challenge
        was successful and a float
    """

    success, prob = None, None

    # --- IMPLEMENTATION GOES HERE ---  
    prob = 1
    for i in range(num_times):
        c = prover.compute_c()
        b = verifier.choose_b(c)
        h = prover.compute_h(b)
        success = verifier.verify(h)
        try:
            assert success
        except:
            raise InvalidParams
        prob = prob / 2.0
    # --------------------------------

    return success, prob

prover = UocZkpProver(89, 3, 14, 9)
verifier = UocZkpVerifier(89, 3, 14)

print (challenge (prover, verifier, 10))

(True, 0.0009765625)


# 4. El protocolo de PIR de Kushilevitz y Ostrovsky

En este segundo ejercicio implementaremos el protocolo de PIR de **Kushilevitz y Ostrovsky** que está descrito en el módulo de *Protocolos criptográficos* de los materiales de la asignatura.

Así pues, nuestro protocolo estará formado por dos entidades: una base de datos, que mantendrá una matriz de bits (de tamaño $s \times t$), y un usuario de la base de datos, que querrá consultar uno de los bits de la matriz (el que se encuentra en la posición $(ip, jp)$).

Para que nuestro protocolo pueda ser implementado, usaremos programación orientada a objetos y definiremos dos clases, una para el usuario y otra para la base de datos.

La clase para el **usuario** la definiremos de la manera siguiente:

In [None]:
class User:
    """
    Class representing a user that wants to query a database (which is a
        matrix m of s x t bits). The user knows the size of the matrix,
        and wants to query for the content a specific position m_{ij}.
    """

    def __init__(self, n_bits=8, s=3, t=5):
        """
        Initializes the user. Creates a Goldwasser-Micali public key, and
            stores it in instance variables.

        This method has to initialize instance variables p, q, n, a, s and
            t (ip and ij will remain unset until the prepare_query method
            is called).

        :param n_bits: integer, number of bits of the public key modulus.
        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.p, self.q, self.n, self.a = None, None, None, None
        self.s, self.t = None, None
        self.ip, self.jp = None, None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  PK = ({}, {}), sk = ({}, {})".format(
            self.n, self.a, self.p, self.q), LOG_INFO)

    def prepare_query(self, ip, jp):
        """
        Computes the values to query the database for position (ip, jp)
            from the database matrix. Checks that the received indexes
            are valid, and computes the values to send to the database.

        This method has to initialize instance variables ip and jp.

        :param ip: integer, row of the database matrix to query.
        :param jp: integer, column of the database matrix to query.
        :return: two-elements tuple, the modulus n (an integer) and
            a list of the x_i values (integers).
        """

        x = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  Query for index ({}, {})".format(ip, jp), LOG_INFO)
        print_debug("[U]  n = {}, x = {}".format(self.n, x), LOG_INFO)
        return self.n, x

    def recover_bit(self, z):
        """
        Recovers the bit in position (ip, jp) of the database matrix from
            the values z sent by the database.

        :param z: list of integers, as received from the database.
        :return: integer, the recovered bit.
        """

        recovered_bit = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[U]  Recovered bit: {}".format(recovered_bit), LOG_INFO)
        return recovered_bit

Fijaos que el usuario tiene como variables de instancia la clave pública del criptosistema de Goldwasser-Micali que usa para hacer la consulta (`p`, `q`, `n` y `a`), el tamaño de la matriz de la base de datos a consultar (`s` y `t`) y los índices de la posición que quiere consultar (`ip`, `jp`). La clave pública del usuario se genera aleatoriamente en el constructor de la clase, considerando que el tamaño del módulo tiene que ser de `n_bits` bits. Los valores de los índices a consultar se establecerán cuando se llame al método `prepare_query`, momento en el que el usuario preparará la consulta que se tiene que enviar a la base de datos. Finalmente, dada la respuesta de la base de datos, el método `recover_bit` implementará la recuperación del valor consultado.

Por otro lado, definiremos una clase para la **base de datos**:

In [None]:
class Database:
    """
    Class representing the database that is queried with the PIR protocol.
        The database stores a matrix m of s x t bits.
    """

    def __init__(self, s=3, t=5):
        """
        Initializes the database by generating a random matrix of bits of
            size sxt.

        This method has to initialize instance variables s, t and m.

        :param s: integer, number of rows of the database matrix.
        :param t: integer, number of columns of the database matrix.
        """

        self.s, self.t = None, None
        self.m = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[DB] The database is:\n{}".format(self.m), LOG_INFO)

    def query(self, n, x):
        """
        Processes a query from a user.

        :param n: integer, the modulus n from the user's public key.
        :param x: list of integers, the x_j values as received from the user.
        :return: list of integers, the z_i values that constitute the
            database response.
        """

        z = None

        # --- IMPLEMENTATION GOES HERE ---

        # --------------------------------

        print_debug("[DB] z = {}".format(z), LOG_INFO)
        return z

La base de datos tiene como variables de instancia el tamaño de la matriz de la base de datos a consultar (`s` y `t`), así como la matriz en sí (`m`). En el constructor de la clase, la matriz de bits se inicializa aleatoriamente para simular los datos que tendría almacenados. El método `query` implementa el cálculo de la respuesta que hace la base de datos a una petición del usuario, considerando la matriz de bits almacenada.

Esta segunda actividad consistirá, pues, en implementar los métodos de inicialización de las dos clases, así como los métodos `prepare_query` y `recover_bit` de la clase que representa un usuario, y el método `query` de la clase de la base de datos.

**Ejercicio 2.1.** Función que implementa el constructor (`__init__`) de la clase del usuario.

Este método implementará el paso 1 del protocolo. El método recibirá el tamaño del módulo de la clave pública a generar y el tamaño de la matriz de la base de datos y generará una clave pública aleatoria del criptosistema de Goldwasser-Micali del tamaño especificado. El método no devolverá ningún valor.
* El parámetro `n_bits` contendrá el tamaño del módulo de la clave pública en bits. Por defecto, este valor será 8.
* El parámetro `s` contendrá el número de filas de la matriz de la base de datos. Por defecto, este valor será 3.
* El parámetro `t` contendrá el número de columnas de la matriz de la base de datos. Por defecto, este valor será 5.
* El método no devolverá ningún valor, pero sí actualizará las variables de instancia pertinentes.

**Ejercicio 2.2.** Función que implementa el constructor (`__init__`) de la clase de la base de datos.

Este método implementará la inicialización de la base de datos. El constructor recibe el tamaño de la matriz de bits a almacenar y genera una matriz de bits aleatorios del tamaño especificado.
* El parámetro `s` contendrá el número de filas de la matriz de la base de datos. Por defecto, este valor será 3.
* El parámetro `t` contendrá el número de columnas de la matriz de la base de datos. Por defecto, este valor será 5.
* El método no devolverá ningún valor, pero sí actualizará las variables de instancia pertinentes.

**Ejercicio 2.3.** Función que implementa el método `prepare_query` de la clase del usuario.

Este método implementará el paso 2 del protocolo. El método recibirá los índices del bit de la base de datos a consultar y calculará la lista de valores $x_j$ que codifican la consulta que hay que realizar, seleccionando aleatoriamente los valores $r_j$. El método devolverá los valores a enviar a la base de datos: el módulo de la clave pública del usuario, $n$, y la lista de valores $x_j$ calculados.
* El parámetro `ip` contendrá la fila de la matriz donde está el bit que hay que consultar.
* El parámetro `jp` contendrá la columna de la matriz donde está el bit que hay que consultar.
* La función devolverá una tupla con dos valores: el módulo de la clave pública, `n` (un entero); y la lista de valores enteros $x_j$ para $j \in [1, t]$.

**Ejercicio 2.4.** Función que implementa el método `query` de la clase de la base de datos.

Este método implementará el paso 3 del protocolo. El método recibirá la consulta del usuario, tal como se devuelve en el método `prepare_query` de la clase del usuario, y generará la lista de valores $z_y$ que codifican la respuesta de la base de datos, considerando la base de datos almacenada.

* El parámetro `n` contendrá el módulo de la clave pública del usuario.
* El parámetro `x` contendrá una lista de valores enteros $x_j$ para $j \in [1, t]$.
* La función devolverá la lista de valores enteros $z_y$ para $y \in [1, s]$.

**Ejercicio 2.5.** Función que implementa el método `recover_bit` de la clase del usuario.

Este método implementará el paso 4 del protocolo. El método recibirá la respuesta de la base de datos, tal como se devuelve en el método `query` de la clase de la base de datos, y recuperará el bit consultado de la matriz de la base de datos, que corresponde a la posición $(ip, jp)$. 

* El parámetro `z` contendrá una lista de valores enteros $z_y$ para $y \in [1, s]$.
* La función devolverá un entero con el bit recuperado de la base de datos.

**Ejercicio 2.6.** Implementación del protocolo.

Implementad una ejecución del protocolo entero entre el usuario y la base de datos. Cread una instancia de usuario y una de la base de datos e implementad la interacción entre ambas entidades para que el usuario recupere un bit de la base de datos.