In [1]:
%matplotlib inline

# The Problem

### * Problem 6. Diffie - Hellman Simulation
As we already saw, there are functions which are very easy to compute in the "forward" direction but really difficult (computationally) to invert (that is, determine the input from the output). There is a special case: the function may have a hidden "trap door". If you know where that door is, you can invert the function easily. This statement is at the core of modern cryptography.

Look up **Diffie - Hellman key exchange** (here's a [video](https://www.youtube.com/watch?v=cM4mNVUBtHk) on that but feel free to use anything else you might find useful).

Simulate the algorithm you just saw. Generate large enough numbers so the difference is noticeable (say, factoring takes 10-15 seconds). Simulate both participants in the key exchange. Simulate an eavesdropper.

First, make sure after both participants run the algotihm, they have *the same key* (they generate the same number).

Second, see how long it takes for them to exchange keys.

Third, see how long it takes the eavesdropper to arrive at the correct shared secret.

You should be able to see **the power of cryptography**. In this case, it's not that the function is irreversible. It can be reversed, but it takes a really long time (and with more bits, we're talking billions of years). However, if you know something else (this is called a **trap door**), the function becomes relatively easy to invert.


# Дифи-Хелман Метод за Обмяна на Таен Ключ 


### Проблемът, който трябва да се реши

Двама души - Алиса и Боби искат да си разменят тайни съобщения през линия, която може да бъде подслушвана. Как могат да си разменят тайни писма, след като всичко, което биха си казали, ще се чуе от Дарт - не са си писали преди и не са си разменили никакви тайни кодове. През този подслушван канал трябва да изградят надеждна срещу подслушване връзка. Как?

Традиционно криптираните комуникации между две страни изискват те първо да си обменят ключове за криптиране чрез някакво сигурно физическо средство като например хартия и куриер. В случая Алиса и Боби не разполагат с такова средство.

Ако Алиса и Боби успеят да си обменят **ключ - достатъчно дълго число**, това число може да се използва за шифриране, така те, решавайки другите проблеми по криптираната комуникация, биха могли да комуникират тайно, без комуникацията им да се дешифрира от Дарт. Могат например да използват за криптиране и декриптиране на тяхната комуникация [symmetric key cipher](https://en.wikipedia.org/wiki/Symmetric-key_algorithm), както и да се погрижат в текста да има размесени случайни числа с цел еднакви данни да се криптират различно. Ако имат ключ, знаят как да се справят, трябва им само ключ.

### Дифи-Хелман
**Дифи-Хелман** методът за обмяна на ключове позволява на две страни, които нямат и не са си обменяли никакви данни преди, съвместно да установят общ таен ключ през несигурен подслушван канал.

### Как работи методът на Дифи-Хелман

Оригиналната и най-простата реализация на метода използва мултипликативната група от цели числа по модул $p$, където $p$ е **просто**, и $g$ е **примитивен корен по модул $p$**. Тези две стойности са избрани така, за да осигурят, че общият таен ключ може да бъде коя да е стойност от $1$ до $p-1$. За да е труден за разбиване, $p$ се осигурява да е голямо число. 

С $mod \, p$ означаваме операцията взимане на остатъка при делене на р. 


### Алгоритъм

1. Алиса и Боби се съгласяват да използват $p$ и $g$, където $p$ е **просто**, и $g$ е **примитивен корен по модул $p$** 


2. Алиса си намисля тайно число $a$, и изпраща на Боби
$$
    A = g^a mod \, p
$$

3. Боби си намисля тайно число $b$, и изпраща на Алиса
$$
    B = g^b mod \, p
$$

3. Алиса пресмята общия ключ като
$$
    s = B^a mod \, p
$$

4. Боби пресмята общия ключ като
$$
    s = A^b mod \, p
$$

Двамата получиха едно и също число $s$, което е техният ключ.

Получават един и същи ключ, тъй като:

$$
    s_{Alice} = B^a mod \, p = (g^b mod \, p)^a mod \, p = (g^b)^a mod \, p = g^{ab} mod \, p = (g^a)^b mod \, p = (g^a mod \, p)^b mod \, p = A^b mod \, p = s_{Bob}
$$

Така Алиса и Боби имат вече еднакъв ключ и комуникацията може да започне с предпочитан от тях криптиращ метод.

Подслушващият знае всичко освен числата $a$ и $b$, които никога не са били обменяни, **твърди се, че няма известен алгоритъм** с полиномиална сложност, който по $p$, $g$, $A$ и $B$ да намери $s$. За да може подслушващият Дарт да намери $s$, трябва или от $A = g^a mod \, p$ да намери такова $a$, или от $B = g^b mod \, p$ да намери такова $b$, което за големи р би изисквало милиони, милиарди години.  

### Надеждността на алгоритъма се базира на следното твърдение:
**Не е (публично) известен** алгоритъм, който да решава уравнението $c = g^x mod \, p$, където се търси $x$ за полиномиално по отношение на броя битове на $p$ време.


### По-строги математически означения

Може да се запише по-строго с релацията на еквивалентност - конгруентно по модул 


### Дефиниция: Сравними (конгруентни) по модул n числа
Нека $n \neq 0$ е цяло число. Казваме, че целите числа a и b са сравними (конгруентни) по модул n и бележим с
$a \equiv b (mod \, n)$, когато разликата a − b се дели на n.

Тази релация конгруентни по модул $\equiv$ е въведена от Гаус, можем да си я мислим като вид равенство, всичко, което важи за обикновеното равенство, важи и за нея, тоест можем да събираме и умножаваме с число отляво и отдясно на нея, в частност да повдигаме на степен двете и страни, и прочие.

Ако две числа дават еднакъв остатък при делене на $n$, то те са конгруентни, сравними по модул $n$. Доказателството е просто - ако $a = un + r$ и $b = vn + r$ тогава $a - b = ( un + r ) - ( vn + r ) = (u-v)n$, разликата се дели на $n$, следователно $a \equiv b (mod \, n )$

За повече информация за сравними по модул и други полезни знания от теория на числата (https://store.fmi.uni-sofia.bg/fmi/algebra/lect_notes_manev/NumbTh3.pdf)


### Доказателство със конгруентност на еднаквостта на ключовете на Алис и Боб
Алиса пресмята
$s_{Alice} = B^a mod \, p$, което означава, че $s_{Alice} \equiv B^a (mod \, p)$

$B \equiv g^b (mod \, p)$, можем да го повдигнем на степен $a$ и следва, че $B^a \equiv  (g^b)^a (mod \, p)$, $B^a \equiv g^{ba} (mod \, p)$, $B^a \equiv g^{ab} (mod \, p)$, и тъй като сравними по модул е релация на еквивалентност, то $s_{Alice} \equiv g^{ab} (mod \, p)$

Боби пресмята
$s_{Bob} = A^b mod \, p$, което означава, че $s_{Bob} \equiv A^b (mod \, p)$

$A \equiv g^a (mod \, p)$, можем да го повдигнем на степен $b$ и следва, че следва че $A^b \equiv (g^a)^b (mod \, p)$, $A^b \equiv g^{ab} (mod \, p)$, и тъй като сравними по модул е релация на еквивалентност, то $s_{Bob} \equiv g^{ab} (mod \, p)$

Откъдето заключаваме, че 
$ s_{Bob} \equiv s_{Alice} (mod \, p)$, но тъѝ като те са остатъци при делене на $p$, следователно между $0$ и $p-1$, разликата им ще се дели на $p$, само когато е $0$, тоест $s_{Bob} = s_{Alice}$.

С това твърдението, че Алиса и Боби ще получат еднакви ключове, е доказана.

#### Демо 

1. Нека p = 23 g = 5

2. Алиса намисля $a = 17$

3. Алиса смята $A = g^{a} mod \, p = 5^{17} mod \, 23$, което е $A=15$, и го изпраща на Боб.

4. Боб си намисля $b = 9$

5. Боб смята $B = g^{b} mod \, p =  5^{9} mod \, 23$, което е $B =11$, и го изпраща на Алиса.

6. Алиса смята $s = B^{a} mod \, p = 11^{17} mod \, 23$, което е $s = 14 $

7. Боб смята $s = A^{b} mod \, p = 15^{17} mod \, 23$, което е $s = 14 $

8. Имат еднакъв ключ 14. Могат да започнат комуникацията.

In [2]:
## prime
p = 23 
## primitive root by modulo p
g = 5
print( f"p={p}, g={g}")

## Alice secret random number
a = 17
## Alice "public" number
A = g**a % p
print( f"A={A}")

## Bob secret random number
b = 9
## Bob "public" number
B = g**b % p
print( f"B={B}")

## Alice
s_alice = B**a % p 
print( f"s_alice={s_alice}")

## Bob
s_bob = A**b % p 
print( f"s_bob={s_bob}")

assert s_alice == s_bob
print( f"The key is \"{s_bob}\"")

p=23, g=5
A=15
B=11
s_alice=14
s_bob=14
The key is "14"


### Какво ни е нужно, за да реализираме този алгоритъм
1. Повдигане на степен по модул р - бърз алгоритъм
2. Избор на р просто, и g - негов примитивен корен по модул p.

Повдигането на степен по модул р e лесно става чрез идеята: 

когато n e четно:
$$
    a^n = a^{2\frac{n}{2}} = a^{\frac{n}{2}}a^{\frac{n}{2}}
$$
когато n e нечетно:
$$
    a^n = a^{2\frac{n-1}{2}+1} = a^{\frac{n-1}{2}}a^{\frac{n-1}{2}}a
$$

На всяка стъпка алгоритъмът намалява степентта наполовина и в най-лошия случай ще направи точно $ 2Log_2(n) $ умножения.

Ето и кода на тази функция (има я в питонските библиотеки, но аз реших да я включа за оценка на времето на работа на алгоритъма)

In [3]:
def power_modulo(a, n, p):
    '''
    It calculates a at power n by modulo p. It does that power by fast algorithm with complexity
    O(log(n)) complexity, worst case 2*log_2(n)+1 multiplications.
    '''
    if n == 0:
        return 1
    if ( n % 2 == 0 ):
        # even
        x = power_modulo(a, n//2, p)
        return ( x * x ) % p
    else:
        # odd
        x = power_modulo(a, (n-1)//2, p)
        return ( ( ( x * x ) % p ) * a ) % p

In [4]:
#unit testing of power_modulo
assert( power_modulo(2,0,10000000) == 1 )
assert( power_modulo(2,1,10000000) == 2 )
assert( power_modulo(2,2,10000000) == 4 )
assert( power_modulo(2,3,10000000) == 8 )
assert( power_modulo(2,4,10000000) == 16 )
assert( power_modulo(2,5,10000000) == 32 )
assert( power_modulo(2,6,10000000) == 64 )
assert( power_modulo(2,7,10000000) == 128 )
assert( power_modulo(2,8,10000000) == 256 )
assert( power_modulo(2,9,10000000) == 512 )
assert( power_modulo(2,10,10000000) == 1024 )
assert( power_modulo(2,11,10000000) == 2048 )
assert( power_modulo(2,12,10000000) == 4096 )
assert( power_modulo(2,13,10000000) == 8192 )
assert( power_modulo(2,14,10000000) == 16384 )
assert( power_modulo(2,15,10000000) == 32768 )
assert( power_modulo(2,16,10000000) == 65536 )

for i in range(2, 113) :
    assert( power_modulo(i,112,113) == 1 )

assert( power_modulo(113,123456,123457) == 1 )


### Как да изберем р просто, и какво е това примитивен корен.

Както винаги, и тук "дяволът" е в детайлите. Да опитаме с вече използваното просто число p=23, кои негови остатъци при делене при повдигане на степен ще обходят цялото множество от остатъци при делене на 23, а именно от 1 до 22 включително

In [5]:
def multiply_mod(a, b, m):
    return (a*b)%m

def generate_all_powers(g, p):
    res = []
    g = g % p
    gpower = g
    while( gpower > 1 ) :
        res.append(gpower)
        gpower = multiply_mod(gpower, g, p)
    res.append(gpower)
    return res

p = 23
g = 1
while( g < p ):
    res = generate_all_powers(g,p)
    print(f"{res}\nlen={len(res)}")
    g = g+1 

[1]
len=1
[2, 4, 8, 16, 9, 18, 13, 3, 6, 12, 1]
len=11
[3, 9, 4, 12, 13, 16, 2, 6, 18, 8, 1]
len=11
[4, 16, 18, 3, 12, 2, 8, 9, 13, 6, 1]
len=11
[5, 2, 10, 4, 20, 8, 17, 16, 11, 9, 22, 18, 21, 13, 19, 3, 15, 6, 7, 12, 14, 1]
len=22
[6, 13, 9, 8, 2, 12, 3, 18, 16, 4, 1]
len=11
[7, 3, 21, 9, 17, 4, 5, 12, 15, 13, 22, 16, 20, 2, 14, 6, 19, 18, 11, 8, 10, 1]
len=22
[8, 18, 6, 2, 16, 13, 12, 4, 9, 3, 1]
len=11
[9, 12, 16, 6, 8, 3, 4, 13, 2, 18, 1]
len=11
[10, 8, 11, 18, 19, 6, 14, 2, 20, 16, 22, 13, 15, 12, 5, 4, 17, 9, 21, 3, 7, 1]
len=22
[11, 6, 20, 13, 5, 9, 7, 8, 19, 2, 22, 12, 17, 3, 10, 18, 14, 16, 15, 4, 21, 1]
len=22
[12, 6, 3, 13, 18, 9, 16, 8, 4, 2, 1]
len=11
[13, 8, 12, 18, 4, 6, 9, 2, 3, 16, 1]
len=11
[14, 12, 7, 6, 15, 3, 19, 13, 21, 18, 22, 9, 11, 16, 17, 8, 20, 4, 10, 2, 5, 1]
len=22
[15, 18, 17, 2, 7, 13, 11, 4, 14, 3, 22, 8, 5, 6, 21, 16, 10, 12, 19, 9, 20, 1]
len=22
[16, 3, 2, 9, 6, 4, 18, 12, 8, 13, 1]
len=11
[17, 13, 14, 8, 21, 12, 20, 18, 7, 4, 22, 6, 10, 9, 15, 2, 11, 

Само 10 на брой се оказаха ненулевите остатъци при делене на 23, които, повдигани на степени, обходиха цялото налично множество от 22 възможни ненулеви остатъка при делене на 23. Избирайки едно число, например 12 и повдигайки го последователно на степен по модул 23, след колко степени получихме 1ца? - След 11 пъти. След като получим 1ца, следващите степени на 12 няма да ни дадат нови стойности, ами ще повторят дотук изброените.

Ако $a^{k} \equiv 1 (mod \, p)$, тогава $a^{k+1} \equiv a^{k}a (mod \, p)$, и $a^{k}a \equiv 1.a (mod \, p) \equiv a (mod \, p)$. Това означава, че ако $a^{k} \equiv 1 (mod \, p)$ то $a^{k+1} \equiv a (mod \, p)$, откъдето можем да заключим, че множеството от всички остатъци при делене на р, които са конгруентни с $\{a^n\}$ по модул р, са само остатъците на $\{ a^1, a^2, \cdots , a^{k-1}, a^k \equiv 1 (mod \, p) \}$ при делене на р.

Такива числа като 12 не са примитивни корени, тъй като при повдигането им на степен по модул р пробягват част от множеството от остатъците, преди да се получи 1ца, докато 17 е примитивен корен, тъй като повдигайки го на степен, се получават всички ненулеви остатъци при делене на 23, и както се вижда, чак при степен 22 се получава 1.

Друго наблюдение е, че периодът, през който зациклят степените по модул р на даден остатък, е кратен на p-1, например периодите в горния пример са 2, 11, 22, това са делителите на 22.  

### Малко теория - предполага се, че трябва да я знаете

#### Означения

С $(a,b)$ означаваме най-големия общ делител на $a$ и $b$.

Казваме, че $a$ и $b$ са взаимно прости, ако $(a,b) = 1$

#### Важно от теоретична гледна точка свойство
Ако $(a,b) = d$, тогава съществуват $u$ и $v$ цели числа, такива, че $d = ua +vb$.

#### Следствие
Ако $(a,b) = 1$, тогава, ако $a$ дели $bc$, тогава $a$ дели $c$

#### Малка Теорема на Ферма
$
    a^p \equiv a (mod \, p)
$, където $p$ е просто.

Еквивалентна формулировка е следната:

$a^p - a$ се дели на $p$, където $p$ е просто.

Има и още една еквивалентна формулировка, която всъщност ще използваме нататък


#### Малка Теорема на Ферма

Ако $(a,p) = 1$, тогава $ a^{p-1} \equiv 1 (mod \, p) $, където $p$ е просто.
 
#### Функция на Ойлер и Теорема на Ойлер - Обобщение на Малка Теорема на Ферма  

**Функцията на Ойлер** - $\phi(n)$ се дефинира така: 

$\phi(n)$ броят на остатъците при деление на $n$, които са взаимно прости с $n$.

$$ \phi(n) = \left|\{d : 0 < d < n, \, (d,n) = 1 \}\right|$$

Ако $p$ е просто, то $\phi(p)=p-1$, и $\phi(p^k)=(p-1)p^{k-1}$, както и ако $(p,q) = 1$, то $\phi(pq)=\phi(p)\phi(q)$. Тези свойства на функцията на Ойлер са достатъчни да се напише формула за нейното пресмятане, ако се знае разлагането на едно число n на прости множители. 

Например, ако 
$$
    n = p^{k_1}_1p^{k_2}_2 \cdots p^{k_m}_m 
$$
Тогава
$$
    \phi(n) = (p_1 - 1)p^{k_1-1}_1  (p_2- 1)p^{k_2-1}_2 \cdots (p_m - 1)p^{k_m-1}_m 
$$


За всяко число n и за всяко число a, което е взаимно просто с n, и за функцията на Ойлер от n, $\phi(n)$, e изпълнено следното твърдение
    
#### Теорема на Ойлер -  Обобщение на Малка Теорема на Ферма

Ако $(a,n) = 1$, тогава $ a^{\phi(n)} \equiv 1 (mod \, p)$

#### Доказателство
Нека $M = \{ r : 0 < r < n, \, (r,n) = 1 \}$ това са всички остатъци при делене на n, които са взаимно прости с n, нека това множество изглежда ето така 
$$r_1, r_2, \cdots r_{\phi(n)}$$

Нека $(a,n) = 1$, a e взаимно просто с n, и нека да умножим всеки от елементите на M със a 

$$ar_1, ar_2, \cdots, ar_{\phi(n)}$$

Нека да вземем множеството от техните остатъци при деление на n, нека тези остатъци са 

$$d_1, d_2, \cdots, d_{\phi(n)}$$  

По-конкретно 
$$ 
    ar_1 \equiv d_1 (mod\, n), \,\, ar_2 \equiv d_2 (mod\, n), \,\,  \cdots, ar_{\phi(n)} \equiv d_{\phi(n)} (mod\, n), \,\, 
$$

**1. Никои два от остатъците от $\{d_i\}$ не съвпадат.**

Нека да допуснем, че за някои $i$ и $j$, които са различни, $i \neq j$, съответно $r_i \neq r_j$, имаме равенството $d_i = d_j$. 

Това означава, че $ar_i \equiv ar_j (mod\, n)$, тогава разликата $ar_i-ar_j$ се дели на $n$, но тъй като $(a,n) = 1$, от това, че произведението $a(r_i-r_j)$ се дели на $n$, следва, че $r_i-r_j$ се дели на $n$, само че тази разлика $0 <= |r_i-r_j| < n$, единственият вариант да се дели на $n$ е $r_i-r_j = 0$, следователно $r_i=r_j$, противоречие с допускането, че $i \neq j$ съответно $r_i \neq r_j$. 

Следователно никои от остатъците $\{d_i\}$ не съвпадат помежду си, както и никои от числата $\{ar_i\}$ не са конгруентни по модул n помежду си. 


**2. Никой от остатъците от $\{d_i\}$ не е 0.**

Ако допуснем, че за някое $i$, $d_i = 0$, тогава $ar_i \equiv 0 (mod \, n)$, тогава $ar_i$ се дели на n, но $(a,n) = 1$, следователно $r_i$ се дели на n, което е невъзможно $0 < r_i < n$, противоречие с вида на числата $r_i$


Ако доказвахме варианта само с малката теорема, където n е просто, доказателството е до тук, но тук имаме нужда от още нещо

**3. Всеки от остатъците от $\{d_i\}$ е взаимно прост с n, $(d_i,n) = 1$.**

Да допуснем, че за някое $i$, $(d_i, n) = d > 1$. Това означава, че $d$ дели $n$ и $d$ дели $d_i$.
Имаме също, че $ar_i \equiv d_i (mod \, n)$, разликата $ar_i - d_i$ се дели на $n$, и тъй като $n$ се дели на $d$, то и разликата $ar_i - d_i$ се дели на $d$. От допускането, че $d$ дели $d_i$ - дели умалителя, следователно трябва да дели и умаляемото, $ar_i$ да се дели на $d$, но това е невъзможно, защото $(a,d) = 1$, ако $(a,d) = f > 1$, тогава от $f$ дели $d$, a $d$ дели $n$, следователно $f$ дели $n$, излезе, че $a$ и $n$ имат общ делител $f > 1$, противоречие със $a$ и $n$ са взаимно прости $(a, n) = 1$. Следователно $d$ дели $r_i$, разсъждавайки по същия начин, тъй като $\{r_i\}$ са взаимно прости с $n$, стигаме до противоречие.    


От 1, 2, 3 следва, че остатъците $d_1, d_2, \cdots, d_{\phi(n)}$ са точно същите като $r_1, r_2, \cdots r_{\phi(n)}$, само са разменени по ред, но ако ги разгледаме като множества, съвпадат.


Да умножим конгруентните равенства, получаваме

$$
    a r_1 a r_2 \cdots a r_{\phi(n)} \equiv d_1 d_2 \cdots d_{\phi(n)} \, (mod \, n) 
$$

Да използваме, че остатъците $d_1, d_2, \cdots, d_{\phi(n)}$ са точно същите като $r_1, r_2, \cdots r_{\phi(n)}$, само са разменени по ред, но произведението е комутативно и асоциативно.

$$
    a r_1 a r_2 \cdots a r_{\phi(n)} \equiv r_1 r_2 \cdots r_{\phi(n)} \, (mod \, n) 
$$

$$
    a^{\phi(n)} r_1 r_2 \cdots r_{\phi(n)} \equiv r_1 r_2 \cdots r_{\phi(n)} \, (mod \, n) 
$$

Тъй като всички $r_1 r_2 \cdots r_{\phi(n)}$ са взаимно прости с $n$, $(r_i, n) = 1$, тогава от свойствата на сравнението по модул можем да ги съкратим - все едно сме разделили двете страни на конгруентното равенство.

$$
    a^{\phi(n)} \equiv 1 \, (mod \, n) 
$$

С това теоремата е доказана. 

Когато $n = p$ - просто число, тогава $\phi(p) = p-1$ и получаваме като следствие, че:

Ако $(a, p) = 1$ и $p$ е просто число, то $$ a^{p-1} \equiv 1 \, (mod \, p) $$



In [6]:
import math 
from sympy.ntheory import factorint

def multiply_mod(a, b, m):
    '''
    Multiplication of a and b by modulo m
    '''
    return (a*b)%m


def power_modulo(a, n, p):
    '''
    It calculates a at power n by modulo p. It does that power by fast algorithm with complexity
    O(log(n)) complexity, worst case 2*log_2(n)+1 multiplications.
    '''
    if n == 0:
        return 1
    if ( n % 2 == 0 ):
        # even
        x = power_modulo(a, n//2, p)
        return ( x * x ) % p
    else:
        # odd
        x = power_modulo(a, (n-1)//2, p)
        return ( ( ( x * x ) % p ) * a ) % p


def euler_function_prime(p):
    '''
    Euler totient function is very simple when p is prime.
    '''
    return p-1
    
def euler_function(n):
    '''
    Euler totient function of n
    '''
    res = 1
    factorized = factorint(n)
    for p in factorized:
        res = res * ( p - 1 )
        rem_power = factorized[p] - 1
        if rem_power > 0 :
            res = res * (p**rem_power)
    return res

In [7]:
#tests - Euler function / Totient function
print(euler_function(113))
assert euler_function(113) == 112
print(euler_function(12))
assert euler_function(12) == 4
print(euler_function(15))
assert euler_function(15) == 8

# Fermat Theorem, 113 is prime
for i in range(2, 113) :
    assert( power_modulo(i,112,113) == 1 )


112
4
8


### Примитивни корени и индекси.

От теоремата на Ойлер и теоремата на Ферма веднага се вижда, че за всяко число $a$, което е взаимно просто с $n$, е изпълнено 
$$
    a^{\phi(n)} \equiv 1 \, (mod \, n) 
$$
Както и ако $p$ е просто и $a$ е взаимно просто с $p$, например числото $a$ могат да са всеки ненулев остатък при делене на $p$
$$
    a^{p-1} \equiv 1 \, (mod \, p) 
$$
Щом има степен, на която, като се повдигне, дава число, сравнимо по модул $n$ с 1, тогава има и най-малка степен, на която повдигнато ще даде конгруентно с 1 по модул $n$.

### Дефиниция: Показател (порядък или ред) на цялото число $a$ по модул $n$

Показател (порядък или ред) на цялото число $a$ по модул $n$ наричаме **най-малкото** естествено число $\nu = \nu(a)$, такова, че:
$$
    a^{\nu} \equiv 1 \, (mod \, n) 
$$

Ясно е, че винаги, когато $(a,n) = 1$, то показателят на $a$ по модул $n$ съществува.

### Дефиниция 1: Примитивен корен по модул $n$

Казваме, че числото $g$, $(g,n) = 1$, което е взаимно просто с $n$, e **примитивен корен** по модул $n$, ако показателят на $g$ по модул $n$ е равен на Функцията на Ойлер от $n$.
$$
   \nu(g) = \phi(n) 
$$

Можем да дадем еквивалентна дефиниция:

### Дефиниция 2: Примитивен корен по модул $n$

Казваме, че числото $g$, $(g,n) = 1$, което е взаимно просто с $n$, e **примитивен корен** по модул $n$,
ако **най-малкото** естествено число различно от нула, на което като повдигнем $g$ на степен и получим сравнимо с 1 по модул $n$ число, е числото $\phi(n)$.   

Това означава, че за всички естествени числа $k$, такива че $0 < k < \phi(n)$, е изпълнено $g^{k} \not\equiv 1 \, (mod \, n)$, а съответно за степенния показател $\phi(n)$ e изпълнено $g^{\phi(n)} \equiv 1 \, (mod \, n)$ поради теоремата на Ойлер.

От тук се вижда, че започвайки да повдигаме $g$ на степени естествени числа, ще обходим цялото множество от остатъци при делене на $n$, които са взаимно прости със $n$, преди да започнем да ги повтаряме.


### Твърдение: Показателят на число по модул n дели Функцията на Ойлер от n.

#### Твърдение
**Ако $a$ има показател $\nu$ по модул $n$, то сравнението $a^m \equiv 1 \, (mod \, n)$ е в сила тогава и само тогава, когато $\nu$ дели $m$.**

**Доказателство**
$$
    a^{\nu} \equiv 1 \, (mod \, n) 
$$

Да допуснем, че $\nu$ не дели $m$. Тоест $m = q\nu + r \,, \,\, r > 0$, от даденото по условие $a^m \equiv 1 \, (mod \, n)$ следва, че


$$a^{q\nu + r} \equiv 1 \, (mod \, n)$$
От което следва
$$(a^{\nu})^q a^{r} \equiv 1 \, (mod \, n)$$

От това, че показателят по модул $n$ e $\nu$, като го повдигнем на степен $q$ 

$$
    (a^{\nu})^q \equiv 1^q \, (mod \, n) 
$$
и като го умножим по $a^{r}$, получаваме

$$
    (a^{\nu})^q a^{r} \equiv a^{r} \, (mod \, n) 
$$
Получихме, че
$$
    a^{r} \equiv 1 \, (mod \, n) 
$$
и $ r < \nu $

Само че $\nu$ e най-малкото такова число, а сега намерихме по-малко от него $r$ - противоречие. Следователно $\nu$ дели $m$

Доказателството в другата посока е тривиално.

#### Следствие

Показателят на число по модул n дели Функцията на Ойлер от n.

Тъй като е гарантирано, когато $(a,n)=1$, е изпълнено $a^{\phi(n)} \equiv 1 \, (mod \, n) $, тогава, ако $\nu$ e показателят, тоест най-малкото $\nu$ такова, че $a^{\nu} \equiv 1 \, (mod \, n)$, то $\nu$ дели $\phi(n)$. В частност, когато $n = p$ просто число, то $\nu$ дели $p-1$.

### Търсене на примитивен корен


В Алгоритъма на Дифи-Хелман ползват просто число $p$ за аритметиката по модул, това гарантира съществуване на примитивен корен.


Търсенето на примитивен корен става със тестване. Показателят на число по модул р - най-малката степен, на която, като повдигнем числото, ще получим число, сравнимо с 1цата по модул р, този показател трябва да дели $p-1$. Показателят на число по модул откриваме, като последователно повдигаме числото на степен делител на $p-1$ и следим кога ще даде число, сравнимо с 1 по модул р.

Ако показателят на едно число по модул р е равен на р-1, то това число е **примитивен корен**.


**Алгоритъм - Намиране показателя на число $g$ по модул $p$.**
1. Намираме всички делители на $p-1$, нека това са $d_1=1, d_2, d_3, \cdots, d_{p-1}=p-1$
2. Сортираме ги в нарастващ ред.
3. Последователно тестваме за $k = 1 \cdots p-1$ дали е изпълнено:
4. $g^{d_k} \equiv 1 \, (mod \, p)$
5. Ако е изпълнена конгруенцията, то показателят е $d_k$
6. Ако не е изпълнена конгруенцията, продължаваме към следващия делител
7. Гарантирано за $p-1$ конгруенцията ще се изпълни: $g^{p-1} \equiv 1 \, (mod \, p)$


**Ако показателят на число $g$ по модул $p$ e $p-1$, то $g$ е примитивен корен.**

Кодът, който е показан тук, работи точно така.


In [8]:
# all divisors
def all_non_trivial_divisors(n):
    '''
    Returns all non trivial divisors, 1 and n a trivial divisors. It returns the list of all divisors 
    without 1 and n, and the list is ordered ascending order.
    '''
    # factorization and data preparation
    f = factorint(n)
    num_primes = []
    num_powers = []
    num_power_index = []
    comb_len = 1
    for i in f:
        num_primes.append(i)
        num_powers.append(f[i])
        comb_len = comb_len * ( f[i]+1 )
        num_power_index.append(0)

    # all combinations except 1 and the final one containing everything
    num_power_index[0]=1
    num_len = len(num_primes)
    res = []

    for _ in range(1, comb_len-1):
        # multiply primes according current combination powers.
        m = 1
        for j in range(0, num_len):
            m = m * (num_primes[j]**num_power_index[j])
        res.append(m)
        # make next combination power.
        for k in range(0, num_len):
            num_power_index[k] = num_power_index[k] + 1
            if ( num_power_index[k] > num_powers[k] ):
                num_power_index[k] = 0
            else:
                break
    res.sort()
    return res


class EulerFunctionValue :
    '''
    This object calculates Euler totient function once Ф(n), and all non-trivial divisors of that value
    - all divisors of Ф(n). Because the second is hard to calculate it is calculated once and next reused.
    Those divisors of Ф(n) are needed for checking if a number is a primivive root by modulo p
    '''
    def __init__(self, n):
        self.n = n
        self.elrfunc = euler_function(n)
        self.elrfunc_divisors = all_non_trivial_divisors(self.elrfunc)
    
    def get_order(self, r):
        ''' 
        Calculate the order of a number, the minimal power at which r would be conquent with 1 by modulo p.
        '''
        r = r % self.n
        for d in self.elrfunc_divisors:
            if ( power_modulo(r, d, self.n) == 1 ):
                return d
        if ( power_modulo(r, self.elrfunc, self.n) == 1 ):
            return self.elrfunc
        else:
            return 0 # no such order
        
    def is_primitive_root(self, r):
        '''
        Check if r is a primitive root by modulo p. Such always exists if p is prime.
        '''
        return ( self.get_order(r) == self.elrfunc )
        

In [9]:
# all non trivial divisors, sorted ascendings
print(all_non_trivial_divisors(12))
assert all_non_trivial_divisors(12) == [2, 3, 4, 6]
assert all_non_trivial_divisors(7) == []

#tests
for i in range(0, 17):
    assert( power_modulo(2,i,10000000) == 2**i )

for i in range(2, 113) :
    assert( power_modulo(i,112,113) == 1 )
    
    
assert all_non_trivial_divisors(123457) == []
print(all_non_trivial_divisors(1245377))

# Greatest Common Divisor
assert math.gcd(2762,1245377) == 1

# Generalized Fermat Theorem, 123457 - prime
assert power_modulo(636, euler_function(123457), 123457) == 1

# Generalized Fermat Theorem, gcd(2762,1245377) == 1
assert power_modulo(2762, euler_function(1245377), 1245377) == 1

eulfv = EulerFunctionValue(123457)
assert(eulfv.elrfunc == 123456)
print(eulfv.elrfunc_divisors)

print( eulfv.get_order(777) )
print( eulfv.get_order(776) )

print( eulfv.is_primitive_root(777) )
print( eulfv.is_primitive_root(776) )
print( eulfv.is_primitive_root(775) )
print( eulfv.is_primitive_root(774) )
print( eulfv.is_primitive_root(5) )

[2, 3, 4, 6]
[7, 89, 623, 1999, 13993, 177911]
[2, 3, 4, 6, 8, 12, 16, 24, 32, 48, 64, 96, 192, 643, 1286, 1929, 2572, 3858, 5144, 7716, 10288, 15432, 20576, 30864, 41152, 61728]
123456
7716
True
False
True
False
True


Пример 1: Да се намери примитивен корен по модул р на простото число р.

$$
    p = 396844378397232029247567339683270847107
$$
Примитивен корен
$$
    g = 2
$$

Пример 2: Да се намери примитивен корен по модул р на простото число р.

$$
p = 56474481407237541565638475471584130155905703675868511643035871137687619794423
$$
Примитивен корен
$$
    g = 7
$$

In [10]:
#p = 396844378397232029247567339683270847107
#p = 83607407548250739127631990946971936173080446451192224622302074600851558511547
p = 56474481407237541565638475471584130155905703675868511643035871137687619794423

eulfvLarge = EulerFunctionValue(p)
assert (eulfvLarge.elrfunc == (p-1))

print( f"\n")
print( f"Checked it is prime {p}")
print( f"It is {(int)(math.log(p)/math.log(2)+1)} bit long.\n")

print( f"777 primitive_root : {eulfvLarge.is_primitive_root(777)}" )
print( f"776 primitive_root : {eulfvLarge.is_primitive_root(776)}" )
print( f"775 primitive_root : {eulfvLarge.is_primitive_root(775)}" )
print( f"774 primitive_root : {eulfvLarge.is_primitive_root(774)}" )
print( f"\n")
      
## Find minimal primitive root
gmin = 1
while(True):
    if ( eulfvLarge.is_primitive_root(gmin) ) :
        print(f"Minimal primitive root is {gmin}")
        break
    else:
        gmin = gmin + 1

## The order has to be p-1
assert eulfvLarge.get_order(gmin) == (p-1) 



Checked it is prime 56474481407237541565638475471584130155905703675868511643035871137687619794423
It is 255 bit long.

777 primitive_root : False
776 primitive_root : True
775 primitive_root : False
774 primitive_root : False


Minimal primitive root is 7


### Проблеми с тази реализация

// TODO Write.

### Ефективно търсене на големи прости числа и примитивни корени

// Not ready yet!

// TODO Write what I have already found ...

// TODO Research - reading articles in that area