# Trabalho Prático 2 - Grupo 15

#### João Gonçalves - pg46535
#### Sara Queirós - pg47661
##  Criptosistemas pós-quânticos PKE/KEM - BIKE

De forma a implementar o esquema BIKE para as versões KEM-IND-CPA e PKE-IND-CCA, baseamos o nosso raciocínio do documento oficial https://bikesuite.org/files/v4.2/BIKE_Spec.2021.09.29.1.pdf. 

### BIKE - KEM-IND-CPA
Este algoritmo utiliza os parâmetros N, R, W e T como parâmetros de segurança, o corpo finito de tamanho 2 **K2** e o anel de polinómios **R**.

Para a implementação do esquema existem 3 passos essenciais: geração das chaves pública e privada, encapsulamento chave partilhada e desencapsulamento. 

##### Geração de Chaves:  *keyGen()*
* Para gerar a chave privada é necessário calcular os parâmetros h0 e h1 pertencentes a R com w/2 coeficientes no polinómio. Para além disso, também é calculado g com r/2 coeficientes.
* A chave pública é computada a partir de dos valores de h0, h1 e g, sendo (f0,f1) = (h0*g, h1*g).
* Assim:
    * Chave privada: (h0, h1, g)
    * Chave pública: (f0, f1)
    
##### Encapsulamento
A função que permite efetuar o encapsulamento baseia-se em 2 passos essenciais:
1.  Gerar **m** e **e** 
2. Calcular o encapsulamento com a chave pública

No primeiro passo, o **m** é gerado como sendo um elemento denso aleatório em R. Por sua vez, **e** é o noise gerado com tamanho t.
Com estes dois valores, no segundo passado é efetivamente calculado o encapsulamento da mensagem aleatório em R seguindo os cálculos:
* c0 = msg * f0 + e0
* c1 = msg * f1 + e1
* c = c0, c1  ##encapsulamento da chave 
* k = self.Hash(str(e0), str(e1)) ##Chave simétrica
* return k, c 

##### Desencapsulamento
De forma a efetuar o desencapsulamento, esta função recebe a chave privada e o parâmetro **c** resultante da função de encapsulamento.
O intuito é obter **k** e efetuar a verificação com o k mencionado no encapsulamento. Para isso é necessário:
1. Descodificar o vetor de erro    
2. Calcular a chave 

Relativamente à descoficação do vetor de erro, isto é feito a partir da chave privada e de **c** com recurso a rotações de matrizes do criptogramas, a função bitflip e cálculo de polinónimos. Após encontrar este vetor, é calculada a chave considerando os pesos de hamming dos erros.



In [6]:
import random, hashlib

In [7]:

# Baseado no esquema da página BIKE-1 do documento https://bikesuite.org/files/BIKE.pdf

class BIKE_KEM(object):
    
    def __init__(self, timeout=None):
        R = next_prime(1000)
        N = 2*R
        W = 6
        T = 32
        
        # Numero primo r -> tamanho do bloco
        self.r = R
        # Normalmente, n = 2*r , tamanho chave partilhadA?
        self.n = N
        
        #Tamanho da linha. Nº positivo tal que w/2 é impar 
        self.w = W 
        # t é um número inteiro usado na descodificação, sendo o tamanho do erro
        self.t = T
        
        # Corpo finito de tamanho 2
        self.K2 = GF(2)
        # Polynomial Ring in x over Finite Field of size 2
        F.<x> = PolynomialRing(self.K2)
        # The cyclic polynomial ring F[X]/<X^r + 1>
        R.<x> = QuotientRing(F, F.ideal(x^self.r + 1))
        self.R = R
    
    
    def hammingWeight(self, x):
        return sum([1 if a == self.K2(1) else 0 for a in x])
    
    def geraCoef(self, w, r):
        #Gera um coeficiente aleatorio em que 1 representam os coefs
        coefs = [1]*w + [0]*(r-w-2)
        random.shuffle(coefs)
        return self.R([1]+coefs+[1])
    
    ## Noise
    # produz um par de polinomios dispersos de tamanho "r" com um dado número total de erros "t"
    def noise(self, t):
        el = [1]*t + [0]*(self.n-t)
        random.shuffle(el)  
        return self.R(el[:self.r]), self.R(el[self.r:])
    
    # Converte uma lista de coeficientes em dois polinómios
    def convert_Pol(self, e):
        
        u = e.list()
        return (self.R(u[:self.r]), self.R(u[self.r:]))

    
    #função para calcular o hash
    def Hash(self, e0, e1):
        
        m = hashlib.sha3_256()
        m.update(e0.encode('utf-8'))
        m.update(e1.encode('utf-8'))
        return m.digest()
    # componentwise product of vectors
    def componentwise(self, v1, v2):
        
        return v1.pairwise_product(v2)
    
    
    # converter para vetor um polinomio de tamanho r
    def cripToVecR(self, c):
        V = VectorSpace(self.K2, self.r)
        return V(c.list() + [0]*(self.r - len(c.list())))
    
    def cripToVecN(self, c):
        #Vetor tamanho n
        V = VectorSpace(self.K2, self.n)
        f = self.cripToVecR(c[0]).list() + self.cripToVecR(c[1]).list()
        return V(f)
    
    
    # Roda uma unidade a mais os elementos de um vetor
    def rotVec(self, h):
        
        V = VectorSpace(self.K2, self.r)
        v = V()
        v[0] = h[-1]
        for i in range(self.r-1):
            v[i+1] = h[i]
            
        return v
    

    
    def rotacao(self, vec): #Gera matriz de rotação a partir de um vetor
        M = Matrix(self.K2, self.r, self.r)
        
        M[0] = self.cripToVecR(vec)
        # Aplicar sucessivamente as rotacoes a todas as linhas da matriz
        for i in range(1, self.r):
            M[i] = self.rotVec(M[i-1])
        return M
    
    
    def bitFlip(self, H, y, s, n_iter):

        # Nova palavra de codigo
        x = y
        # Novo sindroma
        z = s

        while self.hammingWeight(z) > 0 and n_iter > 0:

            # Gerar um vetor com todas os pesos de hamming de |z . Hi|
            pesosHam = [self.hammingWeight(self.componentwise(z, H[i])) for i in range(self.n)]
            maxP = max(pesosHam)

            for i in range(self.n):
                # Verificar de |hj . z| é grande
                if pesosHam[i] == maxP:
                    # Efetua o flip do bit
                    x[i] += self.K2(1)
                    # atualiza o sindroma
                    z += H[i]
            # Decresce o numero de iteracoes
            n_iter = n_iter - 1

            if n_iter == 0:
                raise ValueError("Limite de iteracoes foi atingido!!!!")

        return x
    
    
    def h(self): #Gera mensagem e os erros
        #gerar e0 e e1 com tamanho t 
        e = self.noise(self.t)
        
        #gerar mensagem 
        m = self.R.random_element()
        
        return m, e
    
   
    def enc(self, pub, msg, erro):
        #Função que a partir da chave publica encapsula-a e gera a chave simétrica
        f0, f1 = pub 
        e0, e1 = erro
        
        #Encapsulamento
        c0 = msg * f0 + e0
        c1 = msg * f1 + e1
        c = c0, c1
        
        #Chave simétrica com base nos erros
        k = self.Hash(str(e0), str(e1))
        
        return k, c 

    def converToPol(self, bf):
        u = bf.list()
        return (self.R(u[:self.r]), self.R(u[self.r:]))
    

    def find_error(self, priv, c):
        #com recurso ao bitflip calcular o vetor de erro
        
        #passar o criptograma para um vetor n
        vec = self.cripToVecN(c)
        
        h0,h1 = priv 
        H = block_matrix(2, 1, [self.rotacao(h0), self.rotacao(h1)])
        
        s = vec * H
        #Tentar recuperar o s, sem noise, para recuperar o noise
        bf = self.bitFlip(H, vec, s, self.r)
        
        #Converter em polinómios
        bf0, bf1 = self.converToPol(bf)
        
        e0 = c[0] - bf0 * 1
        e1 = c[1] - bf0 * priv[0]/priv[1]
        
        return e0,e1
    
    # Funcao recebe o vetor de erro e retorna o calculo da chave (Feito unicamente para aplicar F.O. no PKE-IND-CCA)
    def calculateKey(self, e0, e1):
        
        # If |(e0,e1)| != t or decoding fails, output error and halt.
        if self.hammingWeight(self.cripToVecR(e0)) + self.hammingWeight(self.cripToVecR(e1)) != self.t:
            raise ValueError("Erro no decoding!!!")
        # Compute K <- K(e0, e1), em que K e o Hash
        k = self.Hash(str(e0), str(e1))
        
        return k
    
    def keyGen(self):
         #Gerar h0 e h1          
        #Gerar as componentes chave privada
        h0 = self.geraCoef(self.w//2, self.r)
        h1 = self.geraCoef(self.w//2, self.r)
        g = self.geraCoef(self.r//2, self.r)

        #Chave publica

        f0 = g*h1
        f1 = g*h0
        
        priv = h0,h1
        pub = f0, f1
        
        return priv, pub
    
    
    #Por ser KEM a chave deve ser encapsulada para enviar 
    def encapsula(self, public):
        #Gerar a mensagem m e o erro r 
        m, e = self.h()
        return self.enc(public, m , e)
    
     # Retorna a chave desencapsulada k ou erro
    def desencapsula(self, priv, c):
        #descodificar o vetor de erro
        e0, e1 = self.find_error(priv, c)
        #calcular a chave 
        k = self.calculateKey(e0,e1)
        return k
    
        

In [None]:
kem = BIKE_KEM()

# Gerar as chaves publica e privada
priv, pub  = kem.keyGen()

#Chave simétrica k e o encapsulamento c
k, c = kem.encapsula(pub)

k1 = kem.desencapsula(priv, c)

if k == k1:
    print("A chave desencapsulada igual à original!")

### PKE - BIKE

De forma a garantir a segurança de IND-CCA, usamos a Tranformação de Fujisaki-Okamoto para nos aproximarmos desse objetivo.

Uma vez que temos de gerar chaves privadas e públicas novamente, reaproveitamos a função da classe anterior para tal.
Sendo assim, restam duas funções essenciais que devem ser feitas: cifragem e decifragem.

##### Cifragem
A função *cifra()* recebe como argumento a mensagem a cifrar e a chave pública para tal e segue os seguintes passos:
1. Cálculo de r aleatório denso e dos os erros.
2. Calcular g, ou seja, o hash de r utilizando o sha3_256.
3. Efetuar o xor y da mensagem inicial com o hash do ponto 2.
4. Tranformar numa string binário para calculado do seu polinómio em R.
5. Encapsulamento da chave w e cálculo da chave simétrica k.
6. Ofuscar r com XOR utlizando a chave simétrica k, obtendo c.
       
No final, é retornado o valor de y, w e c.

##### Decifragem 
Para efetuar a decifragem são dados os parâmetros y, w, c e a chave privada.

Incialmente é desencapsulada a chave utilizando a metodologia aplicada no KEM_PKE, com cálculo do vetor de erros de da chave. Posteriormente, é calculado R usando XOR com c e a chave simétrica k e sua transformação yi em R. Dado isto, verifica-se se o encapsulamento da chave equivale a (w,k) através de (r,y). Caso se verifique, é calculador o XOR obtendo-se a mensagem original, sendo retornada como resultado da função. Caso contrário é lançada uma exceção.


In [None]:
class BIKE_PKE():
    
    def __init__(self):
        self.kem = BIKE_KEM()
 

    def keys(self):
        return self.kem.keyGen()
        

    
    def xor(self, data, mask):
        
        final = b''
        sized = len(data)
        sizem = len(mask)
        i = 0
        while i < sized:
            for j in range(sizem):
                if i < sized:
                    final += (data[i] ^^ mask[j]).to_bytes(1, byteorder='big')
                    i += 1
                else:
                    break
                    
        return final
    
            
    
    def cifra(self, pub, m):
        
        #calcular r e os erros 
        r,e = self.kem.h()
        
        # calcular o hash
        g = hashlib.sha3_256(str(r).encode()).digest()
        
        # calcula o xor da mensagem com o hash g 
        y = self.xor(m.encode(), g)
        
        # Transformar a string de bytes em string binaria
        im = bin(int.from_bytes(y, byteorder=sys.byteorder))
        yi = self.kem.R(im)
        
        # Calcular chave simétrica k e o encapsulamento w     
        k,w = self.kem.enc(pub, yi + r, e)
        
        # calc do xor de r com a chave simetrica
        c = self.xor(str(r).encode(), k)
        
        return y,w,c
    
    
    def decifra(self, priv, y, w, c):

        # Calcula os erros
        e0, e1 = self.kem.find_error(priv, w)
        
        #Calcula a chave simétrica baseado nesses erros
        k = self.kem.calculateKey(e0, e1)
        
        # Calcula o xor de c com k 
        rs = self.xor(c, k)
        r = self.kem.R(rs.decode())
        
        # Transformar esta string de bytes em string binaria
        im = bin(int.from_bytes(y, byteorder=sys.byteorder))
        yi = self.kem.R(im)
        
        # Verificar se a chave e o encapsulamento obtidos
        # são diferentes do esperado, calculando novamente com a pub key
        e = e0, e1
        if (k,w) != self.kem.enc(pub, yi + r, e):
            # Lancar excecao
            raise IOError
        else:
            
            g = hashlib.sha3_256(rs).digest()
            #calcular o xor para obter o inverso, que deve ser a msg inicial 
            m = self.xor(y, g)
        
        return m
        
        
        
    

In [None]:
pke = BIKE_PKE()

priv, pub  = pke.keys()

m = "Teste para TP2"

y, w, c = pke.cifra(pub, m)

final = pke.decifra(priv, y, w, c)

if m == final.decode():
    print("Decifragem ocorreu com sucesso!")
    print("Mensagem decifrada foi: " + final.decode())
else:
    print("Erro na decifragem !")

