# Algorytmy asymetryczne

## Arytmetyka w ciałach skończonych 

Arytmetyka w ciałach skończonych oznacza po prostu operacje modulo. System RSA bazuje na trudności rozkładu liczb na czynniki pierwsze. Klucze są dość długie a przetwarzanie dość złożone. Zaletą systemu jest jego przejrzystość, prostota i bardzo długi czas weryfikacji.

Z kolei system podpisów cyfrowych DSA korzysta z trudności obliczania logarytmów w ciałach skończonych.

### Generacja kluczy

Każdy uczastnik systemu musi posiadać parę powiązanych kluczy -- prywatny i publiczny. Poniższy kod generuje klucze dla Alice (nadawca) i Boba (odbiorca). Klucze Boba wyeksportowane są do tekstowego formatu PEM.

In [1]:
from Crypto.PublicKey import RSA
import binascii
AliceRSAkeys = RSA.generate(1024)
BobRSAkeys = RSA.generate(1024)
print(BobRSAkeys.public_key().export_key(format='PEM').decode('ascii'))
print(BobRSAkeys.export_key(format='PEM').decode('ascii'))

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNW2QTTFthXZXqvQP80uVIeoTn
Zl2ChUBSfDmZehDBu8HJath8+DQiJLU+RjllUWgWwXEcWzr3BRiXXN+GUg9qYnrk
QZBs47zYEbsgt+LLCdMhy+3ZJu3HEbevZsntBphiqoOGIUFKnGJ0ZfFbd4pXWvIH
hJVnxsvVKNujAnK/wQIDAQAB
-----END PUBLIC KEY-----
-----BEGIN RSA PRIVATE KEY-----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### Szyfrowanie bezpośrednie.

Dla algorytmów asymetrycznych nie definiuje się trybów pracy, zatem bezpośrednio można szyfrować tylko krótkie wiadomości tj. mniejsze od rozmiaru klucza publicznego odbiorcy. Poniżej Alice wysyła krótką wiadomość do Boba. 

In [2]:
from Crypto.Cipher import PKCS1_OAEP
msg = 'Wiadomość od Alice do Boba'.encode('utf-8')
encryptor = PKCS1_OAEP.new(BobRSAkeys.publickey())
ciphertext = encryptor.encrypt(msg)
print("Encrypted:", binascii.hexlify(ciphertext))

Encrypted: b'abee6d830885b382f8810a9e79aeda0ce3dcbff9ee9ff017909d1b135d5a5539331f116a92fc212486b092e0e9af1bea2b889c6df0d6f03026f3fd183444896488d56fdf62af747e33fd34e8fcc51d09381c23b413141f9d21a7e23dde157346ee778b6d681c09f7eb8865b75a9059664248409fec4e4bb14da27680645be0a8'


Bob deszyfruje przekaz korzystając ze swojego klucza prywatnego.

In [3]:
decryptor = PKCS1_OAEP.new(BobRSAkeys)
received = decryptor.decrypt(ciphertext)
print('Decrypted:', received.decode('utf-8'))

Decrypted: Wiadomość od Alice do Boba


### Szyfrowanie złożone

Szyfrowanie wiadomości o dowolnej długości jest możliwe po skorzystaniu z tzw. protokołu koperty cyfrowej: algorytmem asymetrycznym szyfrujemy losowy kluczy którym z kolei szyfrujemy ciało wiadomości przy użyciu z góry ustalonego algorytmu symetrycznego. Dzięki łącznemu stosowaniu algorytmów asymetrycznych i symetrycznych Alice może wysłać wiadomość o dowolnej długości.

In [4]:
from Crypto.Cipher import PKCS1_OAEP, AES
import os
msg = 'Wiadomość od Alice do Boba'.encode('utf-8')
AESkey = os.urandom(16)
RSAencryptor = PKCS1_OAEP.new(BobRSAkeys.publickey())
AESencryptor = AES.new(AESkey, AES.MODE_CTR)
KEMblock = RSAencryptor.encrypt(AESkey+AESencryptor.nonce)
DEMblock = AESencryptor.encrypt(msg)
ciphertext = KEMblock + DEMblock
print("Encrypted:", binascii.hexlify(ciphertext))

Encrypted: b'428f8a7c7b5590f7e80b62ae395c33fa1c77b03327e1fc40eaa1abadff2564ae45ece1c380932f95432e7d71c99d267c0c25da62063b3d10c99790a5755a38482802b75d99e1f973be028c3b8efd72416c4e737e9c4fdeedc903c3ad3470bbdc352146b18f779461ca86d5a358d017b3caa988582d533f192098927215a06d02690fd528ebe352e5b4a0b84967bec79effceaea5465d1eb3d2e7946e'


Bob oczywiście musi znać parametry koperty aby uzyskać dostęp do wiadomości.

In [5]:
# Korzystamy z kluczy RSA o długości 1024/8=128 bajtów
KEMblock=ciphertext[:128]
DEMblock=ciphertext[128:]
RSAdecryptor = PKCS1_OAEP.new(BobRSAkeys)
session_key  = RSAdecryptor.decrypt(KEMblock)
aes_key = session_key[:16]
aes_nonce =  session_key[16:]
AESdecryptor = AES.new(key=aes_key, mode=AES.MODE_CTR, nonce=aes_nonce)
received = AESdecryptor.decrypt(DEMblock)
print('Decrypted:', received.decode('utf-8'))

Decrypted: Wiadomość od Alice do Boba


### Szyfrowanie i podpisywanie

Zaszyfrowaną wiadmość Alice może podpisać wykorzystując swój klucz prywatny

In [6]:
from Crypto.Cipher import PKCS1_OAEP, AES
from Crypto.Signature import pkcs1_15
from Crypto.Hash import SHA256
import os
msg = 'Wiadomość od Alice do Boba'.encode('utf-8')
AESkey = os.urandom(16)
RSAencryptor = PKCS1_OAEP.new(BobRSAkeys.publickey())
AESencryptor = AES.new(AESkey, AES.MODE_CTR)
ciphertext = RSAencryptor.encrypt(AESkey+AESencryptor.nonce) + AESencryptor.encrypt(msg)
# Procedura hash and sign
h = SHA256.new(ciphertext)
RSAsigner = pkcs1_15.new(AliceRSAkeys)
signature = RSAsigner.sign(h)
print("Encrypted:", binascii.hexlify(ciphertext))
print("and signed", binascii.hexlify(signature))

Encrypted: b'aa71743267348782a2ba25feb162cae08c484a2a2582bb32ecb6083f2eb0159b385e7f149759426db2e7620d15ee1b911cfc899c137109e33433bf21d704927d468f02a59a0a1dea11cdede445ed9298fababeab68b8ab370145dad4538366aa97ece8ecadf00bd20c5c418d6a7e133b63aa65f3e87ef90b430cce5c6bbaec380f33cd2042104b749c85c87d4f6c96b99452baebdc41b8bd0acc92c6'
and signed b'344ac2fe2b84f7a4b7a3792223ac3cc1914e740e78eeb068efe9c008c010abb39d0d768764e500257fc9240c5073905a479aadaa654e9b2bb7a33b9bc7169ce8368672c3132efcf7083881ea3bf66d0ddd4af43ee0d037c15634ef2d51662d376fde020479821c0d7edb8da9fe7febd45f351cb0068ef976ad90f199c434a076'


Po odebraniu najpierw sprawdzamy podpis i dopiero gdy jest poprawny bierzemy się za deszyfrowanie

In [7]:
# Bob receives 'ciphertext' and attached 'signature'
RSAverifier = pkcs1_15.new(AliceRSAkeys.publickey())
BobsHash = SHA256.new(ciphertext)
try:
    RSAverifier.verify(BobsHash, signature)
    print("Podpis jest poprawny.")
    # Korzystamy z kluczy RSA o długości 1024/8=128 bajtów
    KEMblock=ciphertext[:128]
    DEMblock=ciphertext[128:]
    RSAdecryptor = PKCS1_OAEP.new(BobRSAkeys)
    session_key  = RSAdecryptor.decrypt(KEMblock)
    aes_key = session_key[:16]
    aes_nonce =  session_key[16:]
    AESdecryptor = AES.new(key=aes_key, mode=AES.MODE_CTR, nonce=aes_nonce)
    received = AESdecryptor.decrypt(DEMblock)
    print('Decrypted:', received.decode('utf-8'))
except:
    print("Podpis jest NIEWAŻNY!")

Podpis jest poprawny.
Decrypted: Wiadomość od Alice do Boba


### Tylko podpisywanie

Gdy wystarcza tylko uwierzytelnienie i nie jesteśmy zainteresowani utajnieniem przekazu, wówczas można wykorzystać system DSA. Jak zwykle użytkownik musi aktywować się w systemie generując klucze i dystrybuując klucz publiczny. (poczytaj o kanale podprogowym na wykładzie).

In [8]:
from Crypto.PublicKey import DSA
AliceDSAkeys = DSA.generate(1024)
print(AliceDSAkeys.public_key().export_key(format='PEM').decode('ascii'))
print(AliceDSAkeys.export_key(format='PEM').decode('ascii'))

-----BEGIN PUBLIC KEY-----
MIIBtzCCASwGByqGSM44BAEwggEfAoGBAOILjAcdNvrKg3UxsAmk6RWX1GnbkSQQ
WH72Jd5eO2X7VMA4QQdP+gkFDPpWaiigdUJrlw8cPNaEHG7ZAIcy+A7NnrEqFXQy
n1L0nW8z+XQta4ZRRs1uT41B2hrQ4Xb2nbUjm2bq3GBVm/Bui71w2obzcQLVCdi7
HOBRDAE79F+xAhUAxscswqfwg7RZ/r0G2PrwVzrzr9kCgYEA1rvLe4wOybBZFhtf
6rPb8Llap2mzZIgHDKBxGCluLoHvAGGSVV8F7x5zKgbvRk60yK2goDgnbQg8aamP
6QA5vKljcZV/BeeHizBJ25qkLHFMqVlAp8aICJ/J9cn64zZ4MWWV4DqWEIfDqC7r
HBK/arr/KDGIE+nuql5ZTw5j8y0DgYQAAoGAZbHYSG/l15UWopth6JOr3FFGqS5M
dTw499+tVrnpGV5T3WHl5x0twqwNey/I/1+wA+6brsyaff5wyGXP7yz+dU8Br4u+
jcqtUDzRtWX0mzOu1aXQbeI75D2be/37U/2DUGoMLzUXHfKRRmcFGHO9lowd5mV3
oFCRvtPFfhLCHuE=
-----END PUBLIC KEY-----
-----BEGIN PRIVATE KEY-----
MIIBTAIBADCCASwGByqGSM44BAEwggEfAoGBAOILjAcdNvrKg3UxsAmk6RWX1Gnb
kSQQWH72Jd5eO2X7VMA4QQdP+gkFDPpWaiigdUJrlw8cPNaEHG7ZAIcy+A7NnrEq
FXQyn1L0nW8z+XQta4ZRRs1uT41B2hrQ4Xb2nbUjm2bq3GBVm/Bui71w2obzcQLV
Cdi7HOBRDAE79F+xAhUAxscswqfwg7RZ/r0G2PrwVzrzr9kCgYEA1rvLe4wOybBZ
Fhtf6rPb8Llap2mzZIgHDKBxGCluLoHvAGGSVV8F7x5zKgbvRk60yK2goD

Podpisywanie również odbywa się za pomocą schemat hash and sign

In [9]:
from Crypto.Signature import DSS
msg = 'Wiadomość od Alice do Boba'.encode('utf-8')
h = SHA256.new(msg)
DSSsigner = DSS.new(AliceDSAkeys,'fips-186-3')
signature = DSSsigner.sign(h)
print("Wiadomość:", binascii.hexlify(msg))
print("i podpis", binascii.hexlify(signature))

Wiadomość: b'576961646f6d6fc59bc487206f6420416c69636520646f20426f6261'
i podpis b'6b4274693887a964f96c003117ce4e985780c7f7a294a7377ced81e09533e101108e7f81272652ed'


Weryfikacja wymaga oczywiście znajomości klucza publicznego Alice

In [10]:
# Bob receives 'msg' and attached 'signature'
DSSverifier = DSS.new(AliceDSAkeys.public_key(),'fips-186-3')
BobsHash = SHA256.new(msg)
try:
    DSSverifier.verify(BobsHash, signature)
    print("Podpis jest poprawny.")
except:
    print("Podpis jest NIEWAŻNY!")

Podpis jest poprawny.


## ECC (Elliptic Curve Cryptography)

### Tylko podpisywanie

Przykład z podpisywaniem może być łatwo zmodyfikowany tak aby korzystał z systemu DSA pracującego w oparciu o arytmetykę na krzywych eliptycznych, czyli ECDSA.

Podpisujący (Alice) musi oczywiście mieć wygenerowane klucze długoterminowe.

In [11]:
from Crypto.PublicKey import ECC
Alice_ECDSA_keys = ECC.generate(curve='P-256')
print(Alice_ECDSA_keys.public_key().export_key(format='PEM'))
print(Alice_ECDSA_keys.export_key(format='PEM'))

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEjJzVrqapp51D8gFr79xHv9VxSMb3
cKuEKIHCwSvi4SQwvX0rnhOS2GmXxXt0fZTlUgqTB6oXH6n0j7r2ianFEg==
-----END PUBLIC KEY-----
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQg2Qytlh3IFFQmPpYw
VRYlCD2wdNnd3Ah7FtbY8AYhMWahRANCAASMnNWupqmnnUPyAWvv3Ee/1XFIxvdw
q4QogcLBK+LhJDC9fSueE5LYaZfFe3R9lOVSCpMHqhcfqfSPuvaJqcUS
-----END PRIVATE KEY-----


Sam podpis również równiez uzyskuje się za pomocą schematu hash and sign

In [12]:
from Crypto.Signature import DSS
msg = 'Wiadomość od Alice do Boba'.encode('utf-8')
h = SHA256.new(msg)
DSSsigner = DSS.new(Alice_ECDSA_keys,'fips-186-3')
signature = DSSsigner.sign(h)
print("Wiadomość:", binascii.hexlify(msg))
print("i podpis", binascii.hexlify(signature))

Wiadomość: b'576961646f6d6fc59bc487206f6420416c69636520646f20426f6261'
i podpis b'58e1d6d24547916d88fa56472682171a6199ba045849d4ec1588266cd3eb20e1bf08073deef93f4e839bf11d7ac76f5d2f268f9bfce4c60136c36206253cfec9'


Weryfikacja wymaga oczywiście znajomości klucza publicznego Alice

In [13]:
# Bob receives 'msg' and attached 'signature'
DSSverifier = DSS.new(Alice_ECDSA_keys.public_key(),'fips-186-3')
BobsHash = SHA256.new(msg)
try:
    DSSverifier.verify(BobsHash, signature)
    print("Podpis jest poprawny.")
except:
    print("Podpis jest NIEWAŻNY!")

Podpis jest poprawny.


### Szyfrowanie złożone

Systemy ECC nie wspierają szyfrowania bezpośredniego. Do przekazania klucza symetrycznego w sposób poufny wykorzystuje się konstrukcję przypominającą protokół Diffiego-Hellmana (DH).

W systemach ECC klucz prywatny $x$ jest liczbą losową, a pasujący do niego klucz publiczny $X$ obliczamy jako $$X = x \cdot G,$$ 
gdzie $G$ jest znanym wszystkim użytkownikom systemu punktem generującym krzywą eliptyczną, a operacja "$\cdot$" oznacza mnożenie punktów na krzywej. Reguły arytmetyki na krzywych eliptycznych gwarantują, że wyznaczenie $x$ gdy znane są $X$ i $G$ jest awykonalne pod warunkiem, że liczby te są wystarczająco duże.

Niech Bob (odbiorca) posiada parę kluczy: prywatny $b$ i publiczny $B=b\cdot G$. Klucz publiczny $B$ jest znany Alice (nadawcy) wiadomości.
Alice generuje tymczasowy klucz prywatny $x$ i pasujący do niego klucz publiczny $X=x\cdot G$ nazywany *kluczem efemerycznym* (ang. ephemeral key) ze względu na jego tymczasowy charakter. 
Następnie Alice oblicza klucz symetryczny jako 
$$k = B \cdot x = b \cdot G \cdot x .$$
Alice szyfruje wiadomość kluczem $k$.
Do Boba wędruje szyfrogram $E_k(msg)$ oraz przesłana tekstem jawnym liczba $X$.

Bob, aby odzyskać klucz $k$ wykonuje rachunek
$$ X \cdot b = x \cdot G \cdot b = b \cdot G \cdot x = k .$$
Eve, aby zdobyć klucz symetryczny $k$ musiałaby wyliczyć $x$ ze jawnych warości $X$ i $G$.
Jednak wspomniano na wstępie, jest to zadanie awykonalne dla odpowiednio dużych liczb.

Niech klucz Boba manastępującą postać

In [14]:
from Crypto.PublicKey import ECC
Bob_ECC_keys = ECC.generate(curve='P-256')
print(Bob_ECC_keys.public_key().export_key(format='PEM'))
print(Bob_ECC_keys.export_key(format='PEM'))

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEIOEee5+aBxyeD+PTD13MihUw6oPc
l/PZe1IlGcP7jD4OzssQ93KT8wo3XyCGKrkEnpv/u5WTO6abERpQ69TF4A==
-----END PUBLIC KEY-----
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgZX7ZBfdju7Sgvipe
H1kK/aVyu0s+XxuRazzxr5ZelSShRANCAAQg4R57n5oHHJ4P49MPXcyKFTDqg9yX
89l7UiUZw/uMPg7OyxD3cpPzCjdfIIYquQSem/+7lZM7ppsRGlDr1MXg
-----END PRIVATE KEY-----


Alice generuje klucz efemeryczny

In [15]:
ephemeral_keys = ECC.generate(curve='P-256')
print(ephemeral_keys.public_key().export_key(format='PEM'))
print(ephemeral_keys.export_key(format='PEM'))

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEn+zXaRKJyk3BP7AvqjiMNM/1ITEt
aRRDhaucrlxqYFuieNH9mB02yZr/zV6AcZk4eR/3EpBTehbi8HOIVH2TPw==
-----END PUBLIC KEY-----
-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgkUL/5NBNVvRkfGtC
WylCQn3JOkkKchvxTXVOls6J/bmhRANCAASf7NdpEonKTcE/sC+qOIw0z/UhMS1p
FEOFq5yuXGpgW6J40f2YHTbJmv/NXoBxmTh5H/cSkFN6FuLwc4hUfZM/
-----END PRIVATE KEY-----


c.d.n. 

## [Integrated Encryption Scheme](https://en.wikipedia.org/wiki/Integrated_Encryption_Scheme) (EIS), Discerte Logarithm EIS (DLEIS), Elliptic Curve EIS (ECIES)

Schemat szyfrowania hybrydowego o nazwie Elliptic Curve Integrated Encryption Scheme (ECIES) podobny do opisanego w poprzednim punkcie schematu jest już zdefiniowany w szeregu standardów (SECG SEC-1, ISO/IEC 18033-2, IEEE 1363a and ANSI X9.63). W standardzie wykorzystuje się funkcje KDF do wyprowadzenia oddzielnych kluczy szyfrującego i uwierzytelniającego ze współdzielonego klucza efemerycznego. ECIES jest używane w Ethereum.
![image.png](attachment:image.png)


Niestety schemat ten nie jest jeszcze zaimplementowany *[pycryptodome](https://pycryptodome.readthedocs.io/en/latest/src/api.html)*. 
Aby z niego skorzystać należy zainstalować bibliotekę *[eciespy](https://pypi.org/project/eciespy/)*.

Niech Bob (odbiorca) posiada klucz prywatny/publiczny

In [16]:
import ecies, binascii
BobsKeys = ecies.utils.generate_eth_key()

Alice wysyła do Boba zabezpieczoną wiadomość korzystając z jego klucza publicznego

In [17]:
message = 'Pewna bardzo poufna wiadomość'
print("Plaintext:", message )
protected_message = ecies.encrypt(BobsKeys.public_key.to_hex(), message.encode('utf-8'))
print("Encrypted:", binascii.hexlify(protected_message))

Plaintext: Pewna bardzo poufna wiadomość
Encrypted: b'04148f0d724ee5516464a18a528fcd6ec0fe50087d7fd7966873e7bc85085c55bb4ee4d1f751301cdfa73f2f59c5236ed1a30a5ebf30c10d5b41144971820ead45b018a1b1901a671b7001d30608cd4f4225f1c4cd25cbc72f737b7dc1535f35be5b5fbac92a98321d369ed488bda9fcc072d68d55e4cc1c0ae8bcc79496d285'


Bob korzystając ze swojego prywatnego klucza dokonuje sprawdzenia autentyczności a potem deszyfruje przekaz. Wszystkie klucze generowane są automatycznie z klucza efemerycznego.

In [18]:
decrypted = ecies.decrypt(BobsKeys.to_hex(), protected_message)
print("Decrypted:", decrypted.decode('utf-8'))

Decrypted: Pewna bardzo poufna wiadomość


Jak widać jest to bardzo atrakcyjny prymityw. Wszystko w zasadzie dzieje się automatycznie. Warunkiem koniecznym jest bezpieczna dystrybucja kluczy publicznych, tzn. Alice musi być pewna, że używa klucza publicznego który należy do Boba. Ten schemat zabezpieczeń został zaimplementowany w rozwiązaniu VPN o nazwie WireGuard. Klucze publiczne wymieniane są *out-of-band* i nie korzysta się z żadnych systemów certyfikacji. W efekcie konfiguracja WireGuard jest bardzo prosta.