In [1]:
%matplotlib inline

# The Problem

### * Problem 6. Diffie - Hellman Simulation
As we already saw, there are functions which are very easy to compute in the "forward" direction but really difficult (computationally) to invert (that is, determine the input from the output). There is a special case: the function may have a hidden "trap door". If you know where that door is, you can invert the function easily. This statement is at the core of modern cryptography.

Look up **Diffie - Hellman key exchange** (here's a [video](https://www.youtube.com/watch?v=cM4mNVUBtHk) on that but feel free to use anything else you might find useful).

Simulate the algorithm you just saw. Generate large enough numbers so the difference is noticeable (say, factoring takes 10-15 seconds). Simulate both participants in the key exchange. Simulate an eavesdropper.

First, make sure after both participants run the algotihm, they have *the same key* (they generate the same number).

Second, see how long it takes for them to exchange keys.

Third, see how long it takes the eavesdropper to arrive at the correct shared secret.

You should be able to see **the power of cryptography**. In this case, it's not that the function is irreversible. It can be reversed, but it takes a really long time (and with more bits, we're talking billions of years). However, if you know something else (this is called a **trap door**), the function becomes relatively easy to invert.


# Дифи Хелман Метод за Обмяна на Таен Ключ 


### Проблема който трябва да се реши

Двама души Алиса и Боби искат да си разменят тайни съобщения, през линия която може да бъде подслушвана. Как могат да си разменят тайни писма след като всичко което биха си казали ще се чуе от Дарт - не са си писали преди и не са си разменили никакви тайни кодове, трябва през този подслушван канал да изградят надеждна срещу подслушване връзка. Как?

Традиционно, криптираните комуникации между две страни изискват те първо да си обменят ключове за криптиране чрез някакво сигурно физическо средство - като например хартия и куриер. В случая Алиса и Боби не разполагат със такова средство.

Ако Алиса и Боби успеят да си обменят **ключ - достатъчно дълго число** което да се използва за шифриране, те решавайки другите проблеми по криптираната комуникация биха могли да комуникират тайно без комуникацията им да се дешифрира от Дарт. Могат например да използват за криптиране и декриптиране на тяхната комуникация [symmetric key cipher](https://en.wikipedia.org/wiki/Symmetric-key_algorithm), както и да се погрижат в текста да има размесени случайни числа с цел еднакви данни да се криптират различно. Ако имат ключ знаят как да се справят, трябва им само ключ.

### Дифи-Хелман
**Дифи-Хелман** метода за обмяна на ключове позволява на две страни, които нямат и не са си обменяли никакви данни преди, съвместно да установят общ таен ключ през несигурен подслушван канал.

### Как работи метода на Дифи-Хелман

Оригиналната и най-простата реализация на метода използва мултипликативната група от цели числа по модул $p$, където $p$ е **просто**, и $g$ е **примитивен корен по модул $p$**. Тези две стойности са избрани така за да осигурят че общият таен ключ може да бъде коя да е стойност от $1$ до $p-1$. За да е труден за разбиване $р$ се осигурява да е голямо число. 

Със $mod \, p$ означаваме операцията взимане на остатъка при делене на р. 


### Алгоритъм

1. Алиса и Боби се съгласяват да използват $p$ и $g$, където $p$ е **просто**, и $g$ е **примитивен корен по модул $p$** 


2. Алиса си намисля тайно число $a$, и изпраща на Боби
$$
    A = g^a mod \, p
$$

3. Боби си намисля тайно число $b$, и изпраща на Алиса
$$
    B = g^b mod \, p
$$

3. Алиса пресмята общия ключ като
$$
    s = B^a mod \, p
$$

4. Боби пресмята общия ключ като
$$
    s = A^b mod \, p
$$

Двамата получиха едно и също число $s$, което е техния ключ.

Получават един и същи ключ тъй като:

$$
    s_{Alice} = B^a mod \, p = (g^b mod \, p)^a mod \, p = (g^b)^a mod \, p = g^{ab} mod \, p = (g^a)^b mod \, p = (g^a mod \, p)^b mod \, p = A^b mod \, p = s_{Bob}
$$

Така Алиса и Боби имат вече еднакъв ключ и комуникацията може да започне със предпочитан от тях криптиращ метод.

Подслушвашият знае всичко освен числата $a$ и $b$, които никога не са били обменяни, **твърди се че няма известен алгоритъм** със полиномиална сложност който по $p$, $g$, $A$ и $B$ да намери $s$. За да може подслушващият Дарт да намери $s$, трябва или от $A = g^a mod \, p$ да намери такова $а$, или от $B = g^b mod \, p$ да намери такова $b$. Което за големи р би изисквало милиони, милиарди години.  

### Надежността на алгоритъма се базира на следното твърдение:
**Не е (публично) известен** алгоритъм който да решава уравнението $c = g^x mod \, p$, където се търси $x$ за полиномиално по отношение на броя битове на $p$ време.


### По-строги математически означения

Може да се запише в по-строго със релацията на еквивалентност - конгруентно по модул 


### Дефиниция: Сравними (конгруентни) по модул n числа
Нека $n \neq 0$ е цяло число. Казваме, че целите числа a и b са сравними (конгруентни) по модул n и бележим с
$a \equiv b (mod \, n)$, когато разликата a − b се дели на n.

Тази релация конгруентни по модул $\equiv$ е въведена от Гаус, можем да си я мислим като вид равенство, всичко което важи за обикновеното равенство важи и за нея, тоест можем да събираме и умножаваме с число отляво и отдясно на нея, в частност да повдигаме на степен двете и страни, и прочие.

Ако две числа дават еднакъв остатък при делене на $n$ то те са конгруентни сравними по модул $n$. Доказателството е просто - ако $a = un + r$ и $b = vn + r$ тогава $a - b = ( un + r ) - ( vn + r ) = (u-v)n$ разликата се дели на $n$ следователно $a \equiv b (mod \, n )$

За повече информация да сравними по модул и други полезни знания от теория на числата (https://store.fmi.uni-sofia.bg/fmi/algebra/lect_notes_manev/NumbTh3.pdf)


### Доказателство със конгруентност, на еднаквостта на ключовете на Алис и Боб
Алиса пресмята
$s_{Alice} = B^a mod \, p$, което означава че $s_{Alice} \equiv B^a (mod \, p)$

$B \equiv g^b (mod \, p)$, можем да го повдигнем на степен $a$ и следва, че $B^a \equiv  (g^b)^a (mod \, p)$, $B^a \equiv g^{ba} (mod \, p)$, $B^a \equiv g^{ab} (mod \, p)$, тъй като сравними по модул е релация на еквивалентност, то $s_{Alice} \equiv g^{ab} (mod \, p)$

Боби пресмята
$s_{Bob} = A^b mod \, p$, което означава че $s_{Bob} \equiv A^b (mod \, p)$

$A \equiv g^a (mod \, p)$, можем да го повдигнем на степен $b$ и следва, че следва че $A^b \equiv (g^a)^b (mod \, p)$, $A^b \equiv g^{ab} (mod \, p)$, тъй като сравними по модул е релация на еквивалентност, то $s_{Bob} \equiv g^{ab} (mod \, p)$

Откъдето заключаваме че 
$ s_{Bob} \equiv s_{Alice} (mod \, p)$, но тъѝ като те са остатъци при делене на $p$ следователно между $0$ и $р-1$, разликата им ще се дели на $p$, само когато е $0$ тоест $s_{Bob} = s_{Alice}$.

С това твърдението че Алиса и Боби ще получат еднакви ключове е доказана.

#### Демо 

1. Нека p = 23 g = 5

2. Алиса намисля $а = 17$

3. Алиса смята $A = g^{a} mod \, p = 5^{17} mod \, 23$, което е $A=15$, и го изпраща на Боб.

4. Боб си намисля $b = 9$

5. Боб смята $B = g^{b} mod \, p =  5^{9} mod \, 23$, което е $B =11$, и го изпраща на Алиса.

6. Алиса смята $s = B^{a} mod \, p = 11^{17} mod \, 23$, което е $s = 14 $

7. Боб смята $s = A^{b} mod \, p = 15^{17} mod \, 23$, което е $s = 14 $

8. Имат еднакъв ключ 14. Могат да започнат комуникацията.

In [2]:
## prime
p = 23 
## primitive root by modulo p
g = 5
print( f"p={p}, g={g}")

## Alice secret random number
a = 17
## Alice "public" number
A = g**a % p
print( f"A={A}")

## Bob secret random number
b = 9
## Bob "public" number
B = g**b % p
print( f"B={B}")

## Alice
s_alice = B**a % p 
print( f"s_alice={s_alice}")

## Bob
s_bob = A**b % p 
print( f"s_bob={s_bob}")

assert s_alice == s_bob
print( f"The key is \"{s_bob}\"")

p=23, g=5
A=15
B=11
s_alice=14
s_bob=14
The key is "14"


### Какво ни е нужно за да реализираме този алгоритъм
1. Повдигане на степен по модул р - бърз алгоритъм
2. Избор на р просто, и g негов примитивен корен по модул p.

Повдигането на степен по модул р e лесно става чрез идеята: 

когато n e четно:
$$
    a^n = a^{2\frac{n}{2}} = a^{\frac{n}{2}}a^{\frac{n}{2}}
$$
когато n e нечетно:
$$
    a^n = a^{2\frac{n-1}{2}+1} = a^{\frac{n-1}{2}}a^{\frac{n-1}{2}}a
$$

На всяка стъпка алгоритъма намалява степентта наполовина, и в най-лошият случай ще направи точно $ 2Log_2(n) $ умножения.

Ето и кода на тази функция ( има я в питонските библиотеки но аз реших да я включа за отценка на времето на работа на алгоритъма )

In [3]:
def power_modulo(a, n, p):
    '''
    It calculates a at power n by modulo p. It does that power by fast algorithm with complexity
    O(log(n)) complexity, worst case 2*log_2(n)+1 multiplications.
    '''
    if n == 0:
        return 1
    if ( n % 2 == 0 ):
        # even
        x = power_modulo(a, n//2, p)
        return ( x * x ) % p
    else:
        # odd
        x = power_modulo(a, (n-1)//2, p)
        return ( ( ( x * x ) % p ) * a ) % p

In [4]:
#unit testing of power_modulo
assert( power_modulo(2,0,10000000) == 1 )
assert( power_modulo(2,1,10000000) == 2 )
assert( power_modulo(2,2,10000000) == 4 )
assert( power_modulo(2,3,10000000) == 8 )
assert( power_modulo(2,4,10000000) == 16 )
assert( power_modulo(2,5,10000000) == 32 )
assert( power_modulo(2,6,10000000) == 64 )
assert( power_modulo(2,7,10000000) == 128 )
assert( power_modulo(2,8,10000000) == 256 )
assert( power_modulo(2,9,10000000) == 512 )
assert( power_modulo(2,10,10000000) == 1024 )
assert( power_modulo(2,11,10000000) == 2048 )
assert( power_modulo(2,12,10000000) == 4096 )
assert( power_modulo(2,13,10000000) == 8192 )
assert( power_modulo(2,14,10000000) == 16384 )
assert( power_modulo(2,15,10000000) == 32768 )
assert( power_modulo(2,16,10000000) == 65536 )

for i in range(2, 113) :
    assert( power_modulo(i,112,113) == 1 )

assert( power_modulo(113,123456,123457) == 1 )


### Как да изберем р просто, и какво е това примитивен корен.

Както винаги и тук "дявола" е в детайлите. Да опитаме със вече използваното просто число p=23 кои негови остатъци при делене при повдигане на степен ще обходят цялото множество от остатъци при делене на 23, а именно от 1 до 22 включително

In [5]:
def multiply_mod(a, b, m):
    return (a*b)%m

def generate_all_powers(g, p):
    res = []
    g = g % p
    gpower = g
    while( gpower > 1 ) :
        res.append(gpower)
        gpower = multiply_mod(gpower, g, p)
    res.append(gpower)
    return res

p = 23
g = 1
while( g < p ):
    res = generate_all_powers(g,p)
    print(f"{res}\nlen={len(res)}")
    g = g+1 

[1]
len=1
[2, 4, 8, 16, 9, 18, 13, 3, 6, 12, 1]
len=11
[3, 9, 4, 12, 13, 16, 2, 6, 18, 8, 1]
len=11
[4, 16, 18, 3, 12, 2, 8, 9, 13, 6, 1]
len=11
[5, 2, 10, 4, 20, 8, 17, 16, 11, 9, 22, 18, 21, 13, 19, 3, 15, 6, 7, 12, 14, 1]
len=22
[6, 13, 9, 8, 2, 12, 3, 18, 16, 4, 1]
len=11
[7, 3, 21, 9, 17, 4, 5, 12, 15, 13, 22, 16, 20, 2, 14, 6, 19, 18, 11, 8, 10, 1]
len=22
[8, 18, 6, 2, 16, 13, 12, 4, 9, 3, 1]
len=11
[9, 12, 16, 6, 8, 3, 4, 13, 2, 18, 1]
len=11
[10, 8, 11, 18, 19, 6, 14, 2, 20, 16, 22, 13, 15, 12, 5, 4, 17, 9, 21, 3, 7, 1]
len=22
[11, 6, 20, 13, 5, 9, 7, 8, 19, 2, 22, 12, 17, 3, 10, 18, 14, 16, 15, 4, 21, 1]
len=22
[12, 6, 3, 13, 18, 9, 16, 8, 4, 2, 1]
len=11
[13, 8, 12, 18, 4, 6, 9, 2, 3, 16, 1]
len=11
[14, 12, 7, 6, 15, 3, 19, 13, 21, 18, 22, 9, 11, 16, 17, 8, 20, 4, 10, 2, 5, 1]
len=22
[15, 18, 17, 2, 7, 13, 11, 4, 14, 3, 22, 8, 5, 6, 21, 16, 10, 12, 19, 9, 20, 1]
len=22
[16, 3, 2, 9, 6, 4, 18, 12, 8, 13, 1]
len=11
[17, 13, 14, 8, 21, 12, 20, 18, 7, 4, 22, 6, 10, 9, 15, 2, 11, 

Само 10 на брой се оказаха ненулевите остатъци при делене на 23, които повдигани на степени обходиха цялото налично множество от 22 възможни ненулеви остатъка при делене на 23. Избирайки едно число например 12 и повдигайки го последователно на степен по модул 23 след колко степени получихме 1ца, след 11 пъти, след като получим 1ца следващите степени на 12 няма да ни дадат нови стойности ами ще повторят дотук изброените.

Ако $a^{k} \equiv 1 (mod \, p)$ тогава $a^{k+1} \equiv a^{k}a (mod \, p)$, и $a^{k}a \equiv 1.a (mod \, p) \equiv a (mod \, p)$. Това означава че ако $a^{k} \equiv 1 (mod \, p)$ то $a^{k+1} \equiv a (mod \, p)$, откъдето можем да заключим че множеството от всички остатъци при делене на р, които са конгруентни със $\{a^n\}$ по модул р са само остатъците на $\{ a^1, a^2, \cdots , a^{k-1}, a^k \equiv 1 (mod \, p) \}$ при делене на р.

Такива числа като 12 не са примитивни корени тъй като при повдигането им на степен по модул р пробягват част от множеството от остатъците преди са се получи 1ца, докато 17 е примитивен корен тъй като повдигайки го на степен се получават всички ненулеви остатъци при делене на 23, и както се вижда чак при степен 22 се получава 1.

Друго наблюдение е че периода през който зациклят степените по модул р на даден остатък, е кратен на p-1, например периодите в горния пример са 2, 11, 22, това са делителите на 22.  

### Малко  Теория - Предполага се че трябва да я знаете

#### Означения

С $(a,b)$ означаваме най-големия общ делител на $a$ и $b$.

Казваме че $a$ и $b$ за взаимно прости ако $(a,b) = 1$

#### Важно от теоретична гледна точка свойство
Ако $(a,b) = d$ тогава съществуват $u$ и $v$ цели числа, такива че $d = ua +vb$.

#### Следствие
Ако $(a,b) = 1$ тогава ако $a$ дели $bc$ тогава $a$ дели $c$

#### Малка Теорема на Ферма
$
    a^p \equiv a (mod \, p)
$, където $p$ е просто.

$a^p - a$ се дели на $p$

Има и още една еквивалентна формулировка, която всъщност ще използваме натакъка


#### Малка Теорема на Ферма

Ако $(a,p) = 1$ тогава $ a^{p-1} \equiv a (mod \, p) $, където $p$ е просто.
 
#### Функция на Ойлер и Обобщение на Малка Теорема на Ферма 

**Функцията на Ойлер** - $\phi(n)$ се дефинира така: 

$\phi(n)$ броят на остатъците при деление на $n$ които са взаимно прости с $n$.

$$ \phi(n) = \left|\{d : 0 < d < n, \, (d,n) = 1 \}\right|$$

Ако $p$ е просто то $\phi(р)=p-1$, и $\phi(р^k)=(p-1)p^{k-1}$ както и ако $(p,q) = 1$ то $\phi(рq)=\phi(p)\phi(q)$. Тези свойства на функцията на Ойлер са достатъчни да се напише формула за нейното пресмятане ако се знае разлагането на едно число n на прости множители. 

Например ако 
$$
    n = p^{k_1}_1p^{k_2}_2 \cdots p^{k_m}_m 
$$
Тогава
$$
    \phi(n) = (p_1 - 1)p^{k_1-1}_1  (p_2- 1)p^{k_2-1}_2 \cdots (p_m - 1)p^{k_m-1}_m 
$$


За всяко число n и за всяко число a, което е взаимно просто с n, и за функцията на Ойлер от n, $\phi(n)$ e изпълнено следното твърдение
    
#### Обобщение на Малка Теорема на Ферма

Ако $(a,n) = 1$ тогава $ a^{\phi(n)} \equiv 1 (mod \, p)$

#### Доказателство
Нека $M = \{ d : 0 < d < n, \, (d,n) = 1 \}$ това са всички остатъци при делене на n които са взаимно прости с n, нека това множество изглежда ето така 
$$ M = \{ d_1, d_2, \cdots d_{\phi(n)} \} $$
