<h3>Codificación por bloques</h3>
<p>Con el ánimo de entorpecer el éxito del análisis de frecuencias para desencriptar un texto, se ha ideado el siguiente método:</p>
<ul>
<li>Fijado un alfabeto con $L$ caracteres, se asigna a cada uno de sus caracteres un único número, entre $0$ y $L-1$; por ejemplo, y si alfabeto es una cadena, podemos tomar el índice.</li>
<li>Se fija un entero positivo, $b$, en adelante, la <span style="font-family: 'courier new', courier; font-size: medium;">clave</span>.</li>
<li>Se corta el texto a encriptar, en bloques de tamaño $b$. ${}^{\scriptsize(*)}$</li>
<li>Con los $b$ números, $[n_0,n_1,...,n_{b-1}]$,&nbsp;asignados a los caracteres de cada bloque, se considera el único número en base $L$ que los tiene como cifras. Se convierte dicho número a base $10$: $\qquad\sum\limits_jn_jL^{b-1-j}$</li>
<li>La lista de números (en base 10) así encontrados, se considera el cifrado del texto, o '<em>texto</em>' encriptado.</li>
</ul>
<p><span style="font-size: xx-small;">(*) se añaden espacios en blanco, o cualquier otro caracter, si hicieran falta para completar el último bloque.</span></p>

<p>Por ejemplo, consideremos el alfabeto&nbsp;' ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!$\$ \%\&$'()*+,-./012\ 3456789:;?@' de longitud $L=83$.</p>
<p>Tomemos clave $b=4$ y la frase: '<em>La vida es una historia contada por un idiota, una historia llena de estruendo y furia, que nada significa.</em>' (Shakespeare; en Macbeth, 5.&ordm; acto, escena V). La troceamos en bloques de longitud $b$ obteniendo la lista:</p>
[[12, 27, 0, 48], [35, 30, 27, 0], [31, 45, 0, 47], [40, 27, 0, 34], [35, 45, 46, 41], [44, 35, 27, 0], [29, 41, 40, 46], <br />[27, 30, 27, 0], [42, 41, 44, 0], [47, 40, 0, 35], [30, 35, 41, 46], [27, 62, 0, 47],[40, 27, 0, 34], [35, 45, 46, 41],<br />&nbsp;[44, 35, 27, 0], [38, 38, 31, 40],[27, 0, 30, 31], [0, 31, 45, 46], [44, 47, 31, 40], [30, 41, 0, 51], [0,32, 47, 44],<br />&nbsp;[35, 27, 62, 0], [43, 47, 31, 0], [40, 27, 30, 27], [0, 45, 35, 33], [40, 35, 32, 35], [29, 27, 64, 0]]<br /><br />
<p>Al pasar cada sublista de $b$ números (cifras en base $L$) a base $10$, se obtiene la lista final (el texto encriptado):</p>
<p>[7047495, 20221456, 18035449, 23057517, 20326409, 25401984, 16867638, 15647160, 24301155, 27149584, 17398174, 15865414, 23057517, 20326409, 25401984, 21992301, 15440770, 217340, 25485024, 17436110, 224393, 20203694, 24913197, 23060000, 312943, 23115286, 16773138]</p>

<p><strong>Ejercicio 1.-</strong> Implementar una función de Sage, Bloques(mensaje,b), que reciba una cadena de caracteres, mensaje y un entero positivo, b, y devuelva una lista de sublistas de números de longitud b, resultado de trocear y codificar el mensaje en bloques como en el ejemplo anterior.</p>
<p>Construir, en la implementación de la función,&nbsp; el siguiente alfabeto:</p>
<p style="margin-left: 30px;">alfabeto=''.join([chr(c) for c in [65..90]])</p>
<p style="margin-left: 30px;">simbolos=''.join([chr(c) for c in [33]+[36..64]])</p>
<p style="margin-left: 30px;">alfabeto=' '+alfabeto+alfabeto.lower()+simbolos</p>

In [1]:
alfabeto=''.join([chr(c) for c in [65..90]])
simbolos=''.join([chr(c) for c in [33]+[36..64]])
alfabeto=' '+alfabeto+alfabeto.lower()+simbolos
alfabeto

" ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz!$%&'()*+,-./0123456789:;<=>?@"

In [2]:
def Bloques(mensaje,b):
    alfabeto=''.join([chr(c) for c in [65..90]])
    simbolos=''.join([chr(c) for c in [33]+[36..64]])
    alfabeto=' '+alfabeto+alfabeto.lower()+simbolos
    L=len(alfabeto)
    mensnums=[alfabeto.index(letra) for letra in mensaje]
    mensnums+=[randint(1,L)]*(b-len(mensaje)%b)
    bloques=[]
    for j in range(len(mensnums)//b):
        num=0
        for k in mensnums[j*b:(j+1)*b]:
            num=k+num*L
        bloques.append(num)
    return bloques

In [3]:
texto='La vida es una historia contada por un idiota, una historia llena de estruendo y furia, que nada significa.'
print(Bloques(texto,4))

[7047495, 20221456, 18035449, 23057517, 20326409, 25401984, 16867638, 15647160, 24301155, 27149584, 17398174, 15865414, 23057517, 20326409, 25401984, 21992301, 15440770, 217340, 25485024, 17436110, 224393, 20203694, 24913197, 23060000, 312943, 23115286, 16773200]


<p>Para desencriptar, solo hemos de seguir los pasos a la inversa. De la evaluación anterior tenemos un juego de caracteres guardado en la cadena de nombre <span style="font-family: comic sans ms,sans-serif;">alfabeto</span>, la <span style="font-family: comic sans ms,sans-serif;">clave</span>, b, longitud de los bloques y la lista final de números (enteros de sage), con nombre <span style="font-family: comic sans ms,sans-serif;">numeros</span>.</p>

<p><strong>Ejercicio 2.-</strong> Implementar, DesBloques(lista,b), la función inversa de la anterior, recibe una lista de números, entre 0 y $L^b-1$, con $L$ la longitud del alfabeto que estamos considerando (constrúyase dentro como antes); y debería devolver el mensaje tal que Bloques(mensaje,b)=lista.</p>

In [4]:
def DesBloques(lista,b):
    alfabeto=''.join([chr(c) for c in [65..90]])
    simbolos=''.join([chr(c) for c in [33]+[36..64]])
    alfabeto=' '+alfabeto+alfabeto.lower()+simbolos
    L=len(alfabeto)
    bloques=[]
    for num in lista:
        bloque=num.digits(L,padto=b)
        bloque.reverse()
        bloques.append(bloque)
    texto=''
    for bloque in bloques:
        texto+=''.join([alfabeto[j] for j in bloque])
    return texto

In [5]:
lista=Bloques(texto,4)
DesBloques(lista,4)

'La vida es una historia contada por un idiota, una historia llena de estruendo y furia, que nada significa.b'

<h3>Criptografía de clave pública y firmas digitales: RSA</h3>
<p>En los sistemas que llevamos vistos, conocida la clave para encriptar es relativamente sencillo averiguar la clave para desencriptar.</p>
<p>En los sistemas de clave pública, cada usuario tiene una clave para encriptar que todos los demás conocen, clave pública, y una clave privada, "<em>inversa</em>" de la anterior, para desencriptar. Por supuesto, y dado que la clave para encriptar de un usuario es conocida, tiene que ser <em>imposible en la práctica</em> averiguar su clave privada. El <a href="http://es.wikipedia.org/wiki/RSA" target="_blank">algoritmo RSA</a> (por sus creadores <span class="st">Rivest, Shamir y Adleman</span>, 1978) es un ejemplo y se basa en el siguiente</p>
<p style="margin-left: 30px;"><strong>Teorema de Euler-Fermat.-</strong> Si $a$ y $m$ son dos enteros positivos coprimos, y $\phi(m)$ denota la función de Euler de $m$, entonces $a^{1+\phi(m)}\equiv a\pmod m$.</p>
<p>En particular, se considera un entero $m$ producto de dos primos, $p$ y $q$, lo suficientemente grandes para que, conocido su producto $m=p\cdot q$, pero no ellos, sea difícil averiguarlos, equivalentemente, <em>factorizar $m$</em> (ver, por ejemplo, <a href="http://es.wikipedia.org/wiki/Factorizaci%C3%B3n_de_enteros" target="_blank">este artículo de la wikipedia</a> sobre el problema computacional de la factorización, o este otro sobre el <a href="http://es.wikipedia.org/wiki/Problema_RSA" target="_blank">problema RSA</a>).</p>
<p>En el siguiente cuadro se muestra un ejemplo con la generación aleatoria de dos primos, y la factorización de su producto. Aparece comentado pues su evaluación lleva algo de tiempo; descomentar si se quiere evaluar.</p>

In [6]:
t0=walltime()
c1,c2=30,40
#Un primo, aleatorio, de c1 cifras decimales
p=random_prime(10**(c1),proof=True,lbound=10**(c1-1))
print('Un primo de %d cifras: %d'%(c1,p))
#otro de c2 cifras
q=random_prime(10**(c2),proof=True,lbound=10**(c2-1))
print('otro primo, de %d cifras: %d'%(c2,q))
m=p*q
print('su producto: %d'%m)
print('Su factorizacion: %s.'%(factor(m)))
t1=walltime(t0)
print(t1)

Un primo de 30 cifras: 952735102523642715965653947649
otro primo, de 40 cifras: 3562314874804686260044750752067251318253
su producto: 3393942427468540230209308561892297195723317102817332859898608700137197
Su factorizacion: 952735102523642715965653947649 * 3562314874804686260044750752067251318253.
111.11842489242554


<p>Aprovechando esta dificultad, el criptosistema RSA sigue el siguiente esquema:</p>
<ul style="list-style-type: circle;">
<li>Cada usuario, $A$, toma dos primos, $p_A, q_A$ y considera su producto $m_A=p_A\cdot q_A$.</li>
<li>Calcula un par de números $(e_A,d_A)$, para <strong>e</strong>ncriptar y <strong>d</strong>esencriptar mensajes. El par es tal que $e_A\cdot d_A\equiv 1\pmod{\phi(m_A)}$.</li>
<li>El usuario publica $(m_A,e_A)$, se dice su clave pública, y mantiene en <em>secreto</em> su clave privada, $d_A$.</li>
<li>Si otro usuario quiere comunicarse con $A$, encripta${}^{*}$ su mensaje utilizando $m_A$ y $e_A$, que son públicos.</li>
<li>El mensaje así encriptado, solo puede ser desencriptado${}^{*}$ por $A$, con su clave $d_A$.</li>
</ul>
<p>(*) Encriptar y desencriptar consiste en calcular $x^{e_A}\pmod{m_A}$ (o $x^{d_A}\pmod{m_A}$) con $x$ un número que represente (codifique) el mensaje a encriptar (o el encriptado).</p>
<p>Recuérdese que, en el caso que nos ocupa, $\phi(m)=(p-1)(q-1)$, si $m=p\cdot q$ con $p$ y $q$ primos.</p>
<p>Para primos relativamente pequeños, podemos calcular todos los pares de claves.</p>
<p><strong>Ejercicio 3.-</strong> Listar todos los pares $(e_A,d_A)$, con $e_A<d_A$, que sirvan para un criptosistema RSA con módulo $m=17\cdot 19$.</p>
<p>Sugerencia: serán útiles la función euler_phi() y el método .inverse_mod()</p>

In [7]:
m=17*19
fim=euler_phi(m)
pares=[]
for j in [1..fim]:
    if gcd(j,fim)==1:
        invj=j.inverse_mod(fim)
        if j<= invj:
            pares.append((j,invj))
print(pares)

[(1, 1), (5, 173), (7, 247), (11, 131), (13, 133), (17, 17), (19, 91), (23, 263), (25, 265), (29, 149), (31, 223), (35, 107), (37, 109), (41, 281), (43, 67), (47, 239), (49, 241), (53, 125), (55, 199), (59, 83), (61, 85), (65, 257), (71, 215), (73, 217), (77, 101), (79, 175), (89, 233), (95, 191), (97, 193), (103, 151), (113, 209), (115, 283), (119, 167), (121, 169), (127, 127), (137, 185), (139, 259), (143, 143), (145, 145), (155, 275), (157, 277), (161, 161), (163, 235), (179, 251), (181, 253), (187, 211), (197, 269), (203, 227), (205, 229), (221, 245), (271, 271), (287, 287)]


Con primos grandes, sirve de poco calcular todas las claves, habrá suficientes, y se agotaría al intérprete. En particular, el problema del cálculo de la función de Euler para $m$ equivale al de la factorización de $m$.

Mejor buscamos al azar entre los candidatos, cada vez que necesitemos **una** nueva.

**Ejercicio 4.-**  Encontrar dos primos, $p$ y $q$, de $50$ y $60$ cifras respectivamente. Calcular, con $m=p\cdot q$, dos juegos de claves $(e_1,d_1)$ y $(e_2,d_2)$ para un sistema RSA con módulo $m$.

_Sugerencias:_ obsérvese que, en este caso, $\phi(m)=(p-1)\cdot(q-1)$. Utilizar el algoritmo de Euclides extendido (${\tt xgcd}()$) en lugar de ${\tt.inverse}\_{\tt mod}()$, para el cálculo del inverso modular.

Comenzamos definiendo una función que, dados dos enteros positivos ${\tt c1}$ y ${\tt c2}$, construye un primo de longitud ${\tt c1}$ y
otro de longitud ${\tt c2}$.

In [8]:
def primosRSA(c1,c2):
    p=random_prime(10^c1,proof=True,lbound=10^(c1-1))
    q=random_prime(10^c2,proof=True,lbound=10^(c2-1))
    return p,q

Con esta función generamos los dos primos que darán lugar a $m$.

In [9]:
p,q=primosRSA(50,60)

A continuación definimos una función que, a partir de dos primos $p$ y $q$, construye, con $m=p\cdot q$, una clave $(e,d)$.

In [10]:
def clavesRSA(p,q):
    m=p*q
    fim=(p-1)*(q-1)
    eA=randint(1,fim)
    x,dA,v=xgcd(eA,fim)
    while x!=1:
        eA=randint(1,fim)
        x,dA,v=xgcd(eA,fim)
    eA,dA=eA+(eA<0)*fim,dA+(dA<0)*fim
    return m,eA,dA

Ahora aplicamos dos veces esta función, con los mismos primos $p$ y $q$, para dar lugar a los dos pares de claves pedidos.

In [11]:
mA,eA,dA=clavesRSA(p,q)
mB,eB,dB=clavesRSA(p,q)
print(mA==mB)
print(eA,dA)
print(eB,dB)

True
6232535895171084559365032178234232331432540185894724956083924265335612175021675238438544191664540365388291413 932593753599882249262086320906126246211749708930141279721487876370460016344441132287621909863995849088678277
18088306090766560087792482416023441353693740910421825145566287645310136873148656273405603467158700952547955661 23913284580156251783708530028250725069310472652336411150992476957996856937578283624131571376564400120412296805


<p><strong>Ejercicio 5.-</strong> Implementar una función de sage, potenciaRSA(x,mA,eA), que espere un número, $x$, un módulo, $m_A$, y un exponente, $e_A$, y devuelva $x^{e_A}\pmod{m_A}$. Sugerencia: utilizar la función power_mod() de sage.</p>

In [12]:
##No es una función nueva; es casi un alias para power_mod() (solo intercambia segundo y tercer argumentos)
def potenciaRSA(x,mA,eA):
    return power_mod(x,eA,mA)

<p>La función anterior sirve para encriptar y desencriptar, de manera que, si $(e_A,d_A)$ verifican $e_A\cdot d_A\equiv 1\pmod{\phi(m_A)}$, se tiene</p>
<p>$$\mbox{potenciaRSA}\big(\mbox{potenciaRSA}(x,m_A,e_A),m_A,d_A\big)=x\quad\forall x\,.$$</p>
<p>Comprobadlo.</p>

In [13]:
potenciaRSA(potenciaRSA(123,mA,eA),mA,dA)

123

<p>El criptosistema RSA completo, añade al cálculo de las potencias modulares anteriores, la codificación de un texto en bloques del principio de esta hoja. Obsérvese que interesa que los bloques no sean cortos, pues se pretende anular el éxito de un análisis de frecuencias.</p>
<p>Puesto que los números a los que se aplica el teorema de Euler-Fermat deben ser coprimos con el módulo $m$ utilizado, podrían existir, en principio, ciertas restricciones. Aunque, en este caso especial $m=p\cdot q$ con $p$ y $q$ dos primos distintos, se tiene que, si $e\cdot d\equiv1\pmod{\phi(m)}$, entonces para cualquier $x$ (sea o no coprimo con $m$) se tiene</p>
<p>$$ x^{e\cdot d}\equiv x\pmod m\,.$$</p>
<p>Así, utilizando un alfabeto de tamaño $L$, un tamaño, $b$,&nbsp; para los bloques, debe cumplir que en el rango $[0,L^b)$ no aparezcan repetidos si los miramos módulo $m$. Basta, por ejemplo, tomar $b$ tal que $L^b<m$, de otra manera: $b<\log m/\log L$.</p>
<p>En la práctica, si tenemos que encriptar con clave pública $(n_A,e_A)$ y queremos tomar el menor número de bloques (los de mayor longitud posible), tomaremos $b=\mathrm{floor}(\log n_A/\log L)$ (la función floor() de sage devuelve la parte entera).</p>

<p><strong>Ejercicio 6.-</strong> a) Implementar una función de sage, encriptaRSA(texto,nA,eA), que espere un texto y una clave pública RSA. A partir del módulo $n_A$ y la longitud $L$ de, por ejemplo, el alfabeto de los ejercicios anteriores, encripte el texto por bloques. Y, a partir de la lista resultante, devuelva la correspondiente lista de números codificada con la clave pública, (nA,claveA), mediante potenciaRSA().</p>
<p>b) Implementar la función inversa, desencriptaRSA(lista,nA,dA), es decir, la función tal que aplicada a la lista que devuelve encriptaRSA(texto,nA,eA), devuelva texto.</p>

> _Nota_: Al alfabeto de los apartados anteriores le añadiremos también la Ñ y la ñ

In [14]:
# Apartado a
def encriptaRSA(texto,mA,eA):
    alfabeto=''.join([chr(c) for c in [65..90]])
    simbolos=''.join([chr(c) for c in [33]+[36..64]])
    k=alfabeto.index('N')
    alfabeto=alfabeto[:k+1]+u'Ñ'+alfabeto[k+1:]
    alfabeto=' '+alfabeto+alfabeto.lower()+simbolos
    ###
    L,x=len(alfabeto),len(texto)
    b=floor(log(mA)/log(L))
    for k in range(b-x%b):
        texto+=alfabeto[randint(0,L-1)]
    ###
    nums=[]
    for letra in texto:
        nums=nums+[alfabeto.index(letra)]
    bloques=[nums[j:j+b] for j in range(0,x,b)]
    ###
    final=[]
    for bloque in bloques:
        suma=sum([bloque[j]*L^(b-1-j) for j in range(b)])
        final.append(power_mod(suma,eA,mA))
    return final

In [15]:
# Apartado b
def desencriptaRSA(lista,mA,dA):
    alfabeto=''.join([chr(c) for c in [65..90]])
    simbolos=''.join([chr(c) for c in [33]+[36..64]])
    k=alfabeto.index('N')
    alfabeto=alfabeto[:k+1]+u'Ñ'+alfabeto[k+1:]
    alfabeto=' '+alfabeto+alfabeto.lower()+simbolos
    L=len(alfabeto)
    b=floor(log(mA)/log(L))
    ###
    bloques=[]
    for num in lista:
        num=power_mod(num,dA,mA)
        bloque=num.digits(L,padto=b)
        bloque.reverse()
        bloques.append(bloque)
    ###
    letras=[''.join([alfabeto[j] for j in num]) for num in bloques]
    return ''.join(letras)

In [16]:
print(desencriptaRSA(encriptaRSA(texto,mA,eA),mA,dA))

La vida es una historia contada por un idiota, una historia llena de estruendo y furia, que nada significa.DmDN@


**Firma digital.-** Con este sistema, y puesto que las claves para encriptar son públicas, cualquiera puede hacerse pasar por otro al enviar mensajes. Pero este problema es fácil de resolver: si B quiere enviar un mensaje a A puede firmar el mensaje sin más que utilizar su clave privada, $(m_B,d_B)$, para añadir, por ejemplo, su nombre. Cuando A recibe el mensaje junto con la firma, desencripta el mensaje con su clave privada, $(m_A,d_A)$, y la firma de B con la clave pública de este, $(m_B,e_B)$.