# Introdução

**Grupos** são estruturas algébricas com uma *operação binária* soma (se o grupo for aditivo) ou multiplicação (se o grupo for multiplicativo).

Contém um *elemento neutro*: $0$ nos grupos aditivos e $1$ nos multiplicativos. 

Adicionalmente cada elemento tem um e só um  *inverso* : $-x + x = 0$ nos grupos aditivos e $1/x * x = 1$ nos grupos multiplicativos.

---

**Anéis** são estruturas algébricas com duas operações binárias, soma e multiplicação, e os respetivos elementos neutros, $0$ e $1$, verificando as leis da distributividade.

Em criptografia, a menos que seja explicitamente dito o contrário, assume-se que todo os anéis são comutativos e não-triviais (isto é, $0\neq 1$).

Todo anel é um grupo em relação à soma mas não é um grupo em relação à multiplicação; os elementos do anel com inversa multiplicativas dizem-se *unidades*.


---

**Corpos** são anéis em que todo o elemento não zero é uma unidade.

---

**Domínio Integral** é um anel onde a multiplicação de dois elementos não-zero é sempre não-zero. 

**Ideal** $I$ num anel $R$ é um subconjunto $I\subseteq R$ fechado por somas e que contém todos os múltiplos de qualquer dos seus elementos. Isto é: $a,b\in I \Rightarrow a+b\in I\,$ e  $a\in I, r\in R \Rightarrow a*r \in I$.

Um ideal é **principal** se é formado por todos os múltiplos de um dos seus elementos; esse elemento designa-se _gerador_.

**Principal Ideal Domain (PID)** é um domínio integral em que cada um dos seus ideais é principal. 
1. Todo o corpo é um PID. 
2. Num PID existe a noção de máximo divisor comum. 
3. Num PID todo a unidade tem uma fatorização por elementos primos que é única a menos da ordem dos elementos.


# Anéis standard
https://doc.sagemath.org/html/en/reference/rings_standard/index.html
https://doc.sagemath.org/html/en/reference/rings_standard/sage/rings/integer_ring.html

In [None]:
# O anel dos inteiros representa-se por ZZ e é o resultado da função IntegerRing()


print(ZZ)
print(ZZ == IntegerRing())

In [None]:
x = ZZ('010000111', base=2)
y = ZZ([1,1,1,0,0,0,0,1,0], base=2)
print(x,y)

In [None]:
# gerar aleatoriamente inteiros com "l" bits
l = 12
for _ in range(10):
    x = ZZ.random_element(2^(l-1),2^l-1)
    xx = x.binary()
    print(x,xx)
    
#type(xx)

In [None]:
# Gerar aleatoriamente amostras de uma distribuição gaussiana inteira de média "0" e desvio padrão "s"
s = 2^12
for _ in range(10):
    x = ZZ.random_element(s,distribution="gaussian")
    print(x)

O **anel dos racionais** é um corpo que pode ser descrito de vários modos
https://doc.sagemath.org/html/en/reference/rings_standard/sage/rings/rational.html

In [None]:
Q0 = QQ
Q1 = RationalField()
Q2 = FractionField(ZZ)  # o corpo das frações com inteiros como numerador e denominador

print(Q0 == Q1 , Q0 == Q2)

## Anéis de frações
https://doc.sagemath.org/html/en/reference/rings/sage/rings/fraction_field_element.html

A  construção "FractionField" aplica-se a qualquer anel  $R$. Uma fração é um par $(a,b)\in R$ representado como $a/b$.

Frações são sempre definidas a menos da relação de equivalência
$$a/b\,\cong\,a'/b'\quad\text{sse}\quad a*b' = a'*b$$

In [None]:
Z = PolynomialRing(ZZ , name='z')        # anel dos polinómios de coeficientes inteiros e variável "z"
ZF = FractionField(Z)
print(Z)
print(ZF)

print(Z.random_element(6))
print(ZF.random_element(6))

## Anéis quociente
https://doc.sagemath.org/html/en/reference/rings/sage/rings/quotient_ring.html

Dado um anel $R$ e um ideal $I \subseteq R$ é sempre possível definir um outro anel, representado por $R/I$ e designado por **anel quociente**  que tem por elementos as classes de equivalência geradas em $R$ pela relação $$ a\cong b\quad\text{sse}\quad a - b \in I$$

Como em todas as relações de equivalência, as classes $[a]\subseteq R$ são definidas por
$$[a]\;=\;[b]\quad \text{sse}\quad a \cong b$$

As operações de soma e multiplicação em $R/I$ são executadas módulo essa relação de equivalência.
$$[a] + [b] \,=\,[a+b] \qquad,\qquad [a] * [b] \,=\,[a*b] $$


In [22]:
d   = 64                                 # tamanho do primo "q" em bits
q   = random_prime(2^d - 1, 2^(d-1))     # um primo aleatoriamente gerado com  "d" bits
Zq.<w>   = PolynomialRing(GF(q))         # anel dos polinómios de variável "w" e coeficientes no corpo finito GF(q)

In [23]:
m   = w^2 + w + 1                        # módulo

print(f"{m} é irredutivel em Z_{q} ? {m.is_irreducible()}")

Zq2     = QuotientRing(Zq, Zq.ideal(m))

print(f"Zq2 é um corpo? {Zq2.is_field()}")

w^2 + w + 1 é irredutivel em Z_12052927579277312261 ? True
Zq2 é um corpo? True


In [16]:
x = Zq2.random_element()
print(f"random element x = {x}")
print(x^(q^2-1))

random element x = 148562255716919028*wbar + 261165591914344567
1


In [4]:
while True:
    q  = random_prime(2^d - 1, 2^(d-1)) 
    Zq.<w> = PolynomialRing(GF(q))   
    if (1 + w + w^256).is_irreducible():
        break
q

15128966113361739011

# Anéis Finitos de Inteiros
https://doc.sagemath.org/html/en/reference/finite_rings/sage/rings/finite_rings/integer_mod_ring.html
https://doc.sagemath.org/html/en/reference/finite_rings/sage/rings/finite_rings/integer_mod.html

In [None]:
# Anel dos inteiros módulo um inteiro positivo não zero  "N"
# pode ser definido de várias formas

N = 23

R = Integers(N)
ID = lambda R : print(f"{R} é um domínio integar?", R.is_integral_domain())

ID(R)

print(f"{R} tem ordem ", R.order())
print(f"{R} é um corpo? ", R.is_field())

R1 = IntegerModRing(N)
print(f"{R1} coincide com {R} ? ", R == R1)

R2 = QuotientRing(ZZ,N)
print(f"{R2} coincide com {R} ? ", R == R2)

ID(R2)


In [None]:
for n in range(N-7,N+7):
    try:
        R = Integers(n)
        print(FractionField(R))
    except TypeError:
        ID(R)


In [None]:
a = R.random_element() ; b = R.random_element() ; c = a*b

#testar se é invertível
print(f"{a} é invertível? ",a.is_unit())
print(f"{b} é invertível? ",b.is_unit())
print(f"{c} é invertível? ",c.is_unit())

In [None]:
print(f"ordem multiplicativa de {a} = ",a.multiplicative_order())
print(f"ordem multiplicativa de {b} = ",b.multiplicative_order())
print(f"ordem multiplicativa de {c} = ",c.multiplicative_order())

In [None]:
def foo(a):
    return a^(a.multiplicative_order())

x = R.random_element()
foo(x)

Todo o anel $R$ dá origem a um grupo multiplicativo formado pelas unidades de $R$.

Esse grupo representa-se por $R^\ast$

In [None]:
Rstar = R.unit_group()
print(f"grupo multiplicativo de {R} é ",Rstar)

L = R.list_of_elements_of_multiplicative_group()
print("conjunto das unidades ", L)

In [None]:
print(R.multiplicative_subgroups())
print(R.square_roots_of_one())

# Corpos Finitos de Inteiros

Um anel finito de inteiros é um corpo se e só se tem ordem prima.

Todo o corpo finito de inteiros é cíclico; ou seja, os elementos do grupo multiplicativo formam um ideal principal.



In [None]:
# O Sagemath distingue entre um anel finito de inteiros que é um corpo e 
# um corpo finito com o mesmo número de elementos.

p = 61

print(is_prime(p))

R  = Integers(p)
F  = GF(p)


print(R); print(F) ; print(R==F)

# no entanto !!!
a = R.random_element() ; b = F.random_element() 

print(type(a) == type(b))

In [None]:
# grupo multiplicativo

Rstar = R.unit_group()
print(Rstar.is_cyclic())


g = R.multiplicative_generator()
o = Rstar.order()

print(f"grupo multiplicativo {Rstar} com gerador {g} de ordem {o}\n")

el = [g^n for n in range(o)]
print(el)


In [None]:
print(f"subgrupos multiplicativos",R.multiplicative_subgroups())

for n in [2,3,4,8,9,11,16,32,47,48,60]:
    print(f"a ordem multiplicativa de {n} é ", R(n).multiplicative_order())

# Corpos Finitos
https://doc.sagemath.org/html/en/reference/finite_rings/sage/rings/finite_rings/finite_field_constructor.html
https://doc.sagemath.org/html/en/reference/finite_rings/sage/rings/finite_rings/finite_field_base.html
https://doc.sagemath.org/html/en/reference/finite_rings/sage/rings/finite_rings/element_base.html



Um corpo finito com $q$ elementos, representado por  $\mathbb{F}_q$  ou $\mathsf{GF}(q)$ verifica

1. O inteiro $q$ tem sempre a forma  $q = p^d$ sendo $p$ um primo designado por *característica* e $d$ um inteiro positivo designado por *dimensão*.

2. O grupo das unidades de $\mathbb{F}_q$, representado por $\mathbb{F}_q^\ast$, é sempre cíclico.

3. Seja $\mathbb{R}_p$ o anel de polinómios a uma variável anónima com coeficientes em $\mathbb{F}_p$. 
Então existe sempre um polinómio irredutível $\phi \in \mathbb{R}_p$, com grau $d$ , tal que
$$\mathbb{F}_q\;\cong\; \mathbb{R}_p/(\phi)$$

In [None]:
K = GF(2401, name='z')
print(K)
K.free_module(map=False)

In [None]:
f = K.modulus()
print(f)

print(K.random_element())

In [None]:
R = K.polynomial_ring('x')
print(R)

K1.<z> = QuotientRing(R,f)
print(K1.is_field())
print(K == K1)

type(K.random_element()) == type(K1.random_element())

In [None]:
K.some_elements()

## Anéis e Corpos de Polinómios

In [None]:
Zw = PolynomialRing(ZZ,name='w')
print(Zw)

w = Zw.gen()
f = w^64 + 1
Zwf = QuotientRing(Zw,Zw.ideal(f))
print(Zwf)

ID(Zw)
ID(Zwf)

In [None]:
ID = lambda r : print(f"{r} é um domínio integral?", r.is_integral_domain())

n = 64

q = next_prime(1000)
assert is_prime(q)

Zq = PolynomialRing(GF(q),name='w')
print(Zq)

w = Zq.gen()
f = w^n + 1

Zqf = QuotientRing(Zq,Zq.ideal(f))
print(Zqf)

ID(Zq)
ID(Zqf)


## Corpos Finitos Binários: exemplos

In [24]:
P.<z> = PolynomialRing(GF(2))
f = z^128 + z^7 + z^2 + z + 1
g = z^8 + z^4 + z^3 + z + 1

print(f.is_irreducible(), g.is_irreducible())

True True


In [25]:
Byte = GF(2^8, name='z', modulus=g)
Block128 = GF(2^128, name='x', modulus=f)

print(Byte)
print(Block128)

Finite Field in z of size 2^8
Finite Field in x of size 2^128


In [7]:
# construir um corpo finito de dimensão 16 sobre o corpo binário de dimensão 8

# construir o anel de polinómios
Q.<w> = PolynomialRing(Byte)
d = 16

# determinar um módulo irredutível
while True:
    h = Q.random_element(d)
    if h.is_irreducible():
        break

In [8]:
# transformar "h" num polinómio mónico
t = h[d]
h = Q([h[i]/t for i in range(d+1)])
print('modulus= ',h)

modulus=  w^16 + (z^7 + z^3)*w^15 + (z^7 + z^5 + z^4 + z^3 + z^2)*w^14 + (z^4 + z^3 + z^2)*w^13 + (z^6 + z^5 + z^4 + z^3 + 1)*w^12 + (z^5 + 1)*w^11 + (z^7 + z^6 + z^5 + z^2 + z)*w^10 + (z^7 + z^6 + z^5 + z^4 + z^2 + z)*w^9 + (z^3 + 1)*w^8 + (z^5 + z^4 + z)*w^7 + (z^7 + z^6 + z^4 + z^3)*w^6 + (z^6 + z^5 + z^4 + z^2)*w^5 + (z^7 + z^6 + z^4 + 1)*w^4 + (z^7 + z^6 + z^5 + z^4)*w^3 + (z^7 + z^4 + z^3 + z^2 + z)*w^2 + (z^3 + z + 1)*w + z^6 + z^5 + z^4 + z + 1


In [9]:
# Calcular o anel quociente

Block.<w> = QuotientRing(Q,h)

print("é um corpo ? ",Block.is_field())
print("o que é Block ?", Block)
print(Block.is_field())

é um corpo ?  True
o que é Block ? Univariate Quotient Polynomial Ring in w over Finite Field in z of size 2^8 with modulus w^16 + (z^7 + z^3)*w^15 + (z^7 + z^5 + z^4 + z^3 + z^2)*w^14 + (z^4 + z^3 + z^2)*w^13 + (z^6 + z^5 + z^4 + z^3 + 1)*w^12 + (z^5 + 1)*w^11 + (z^7 + z^6 + z^5 + z^2 + z)*w^10 + (z^7 + z^6 + z^5 + z^4 + z^2 + z)*w^9 + (z^3 + 1)*w^8 + (z^5 + z^4 + z)*w^7 + (z^7 + z^6 + z^4 + z^3)*w^6 + (z^6 + z^5 + z^4 + z^2)*w^5 + (z^7 + z^6 + z^4 + 1)*w^4 + (z^7 + z^6 + z^5 + z^4)*w^3 + (z^7 + z^4 + z^3 + z^2 + z)*w^2 + (z^3 + z + 1)*w + z^6 + z^5 + z^4 + z + 1
True


In [None]:
a = Block.random_element(); b = Block.random_element()
print('a = ',a,'\n')
print('b = ',b,'\n')
print('a*b = ',a*b)

# Anéis "ciclotómicos"

Por razões de eficiência um conjunto significativo de técnicas de chave pública pós-quânticas usam formas especiais de anéis relacionados com polinómio ciclotómicos
https://doc.sagemath.org/html/en/reference/polynomial_rings/sage/rings/polynomial/cyclotomic.html

In [None]:
## 1º Tipo

### o anel base é o dos polinómios sobre um corpo finito inteiro GF(p)
### o módulo "f" é da forma   x^n + 1 em que 
### "n" é da forma 2^k e "p" é um primo que verifica  p == 1 mod 2*n

n = 256

p = next_prime(2*n)
while True:
    if p%(2*n) == 1:
        break
    else:
        p = next_prime(p+1)

print(p,n)

In [None]:
R = PolynomialRing(GF(p),name='x')
#x = R.gen()
f = x^n + 1
Rf = QuotientRing(R , f)

print(Rf)

In [None]:
# motivo desta escolha de parâmetros
# o módulo factoriza em monómios; 
f.factor()

In [None]:
## 2º Tipo

### O anel base é o dos polinómios sobre um corpo primo GF(p)
### O módulo é da forma   f = x^n - 1
### "n" é primo tal que f/(x-1) é irredutível

### motivo: multiplicações polinomiais muito eficientes

p = 2^23 - 2^11 + 11
R = PolynomialRing(GF(p), name='x') 
x = R.gen()

n = next_prime(128)
while True:
    t = sum([x^k for k in range(n)])
    if t.is_irreducible():
        break
    else:
        n = next_prime(n+1)
print(p,n)

In [None]:
f = x^n-1
Rf = QuotientRing(R,f)
print(Rf)