# Iniciació a la Criptografia

### Artur Travesa

#### (versió 2024-07)

# Capítol 12. ElGamal

## 12.0. Introducció

El criptosistema ElGamal és basat en el mateix principi que el protocol Diffie-Hellman per a intercanvi de claus en canals
públics; el va inventar Tahe ElGamal, que el va descriure en un article en 1984 (cf. <b>[D-H]</b>, <b>[ElGamal]</b>). Fins al febrer de $2024$ (on ha deixat de ser estàndard, substituït per la versió de $2023$) era a la base d'algun dels estàndards (DSA) de signatura digital (cf. <b>[DS-S</b>, cap. 4<b>]</b>).

La seguretat del criptosistema ElGamal es basa en la dificultat (conjectural) de calcular logaritmes discrets arbitraris. En
efecte, donats un nombre primer $p$, un element $g$ invertible mòdul $p$, i un nombre natural $x$, el càlcul de la potència, $h=g^x \pmod{p}$ es pot fer en temps polinòmic en la  longitud en bits de $p$ i de $x$; en canvi, no es coneix cap algoritme general tal que, donats $p$, $g$ i $h$, trobi el nombre $x$ en temps polinòmic en la longitud en bits de $p$. Igual com succeeix en el cas de la factorització, el millor algoritme que es coneix actualment és subexponencial.

<b>Observació</b>. I també com en el cas dels criptosistemes RSA, notem que parlem d'algoritmes <i>clàssics</i>, perquè actualment ja hi ha algoritmes quàntics polinòmics per a resoldre aquest problema.

A continuació proporcionem una descripció dels problemes de logaritme discret i, més avall, una descripció, i, simultàniament, un exemple, de criptosistema de tipus ElGamal.

## 12.1. Logaritmes discrets

En general, suposem que disposem d'un grup qualsevol, $G$, i d'un element $g\in G$ d'ordre finit, $q$. Escriurem multiplicativament
l'operació del grup i ens fixarem en el subgrup de $G$ generat per $g$ (per tant, cíclic). Aquest subgrup, $C_g$, és format per les potències $h:=g^x$, per a $1\le x\le q$, ja que $q$ és l'ordre de $g$; notem, també, que $g^0=g^q=1$ és l'element neutre del grup $G$ i, per tant, també del grup $C_g$.

### 12.1.0. Definició
Amb les notacions anteriors, i per analogia amb els logaritmes reals o complexos, $x$ s'anomena el <i>logaritme discret de $h$ en base $g$</i>. 

Notem que $x$ és un nombre enter, que està definit mòdul l'ordre $q$ de $g$ en $G$; per tant, podem pensar $x$ com un element de $\mathbb{Z}/q\mathbb{Z}$.

#### 12.1.0.0. Obervació
Així, l'assignació $x\mapsto g^x$ defineix un isomorfisme de grups del grup additiu $\mathbb{Z}/q\mathbb{Z}$ en el grup multiplicactiu $C_g$: el podem anomenar l'exponencial de base $g$. L'isomorfisme invers s'anomena el <i>logaritme discret</i> en base $g$ per al grup $C_g$ o, també, per al grup $G$.

### 12.1.1. Exemple
Considerem un nombre natural primer $p$, i sigui $G=(\mathbb{Z}/p\mathbb{Z})^{\ast}$ el grup dels elements invertibles mòdul $p$. En $G$, podem considerar qualsevol element $g$ com a base dels logaritmes discrets. Si anomenem $q$ l'ordre de $g$, tenim que el grup $C_g$ és format per les potències $h=g^x$, per a $1\le x\le q$. També tenim, en virtut del petit teorema de Fermat, que $q$ és un divisor de $p-1$.

#### 12.1.1.0. Observació
En general, donats $p$, $g$, i $g^x$, el càlcul de $x$ no se sap fer en temps polinòmic respecte de la mida en bits de $p$ (ni tan sols, conegut $q$). Això fa que l'exponencial $x\mapsto g^x$ es pugui considerar (conjecturalment) una funció <i>de sentit únic</i>. 

Recordem que s'anomena funció de sentit únic una aplicació bijectiva tal que les imatges es poden calcular en temps polinòmic, però les antiimatges, no.

### 12.1.2. Un exemple (inservible criptogràficament)
Notem que si en lloc de considerar el grup multiplicatiu de les classes residuals invertibles mòdul $n$ considerem el grup additiu
de totes les classes residuals mòdul $n$, i si $g$ és qualsevol classe, la potència $g$ de més amunt es correspon ara amb el producte $g x$, de manera que el càlcul del logaritme discret es redueix a la resolució de la congruència lineal $g x\equiv h \pmod{n}$; i aquesta es pot resoldre (per exemple, mitjançant l'algoritme d'Euclides) en temps polinòmic en la longitud en bits de $n$.

Veiem, doncs, que hi ha grups cíclics per als quals el problema del logaritme discret és senzill de resoldre i, per tant, els logaritmes discrets en aquests grups no semblen útils criptogràficament.

## 12.2. El criptosistema ElGamal

### 12.2.0. El grup cíclic

De manera similar a com en els criptosistemes de tipus RSA la base del mètode és el càlcul de potències mòdul un nombre enter $N$, així també en el criptosistema ElGamal la base és aquest mateix tipus de càlcul.

Cada usuari U del criptosistema tria un nombre primer senar $p$ i un nombre enter $g$ no divisible per $p$ i tal que l'ordre multiplicatiu de $g$ en $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ sigui un nombre primer senar $q$. (Moltes vegades, tots els usuaris U del criptosistema utilitzen el mateixos valors de $p$ i de $g$ i, per tant, tots coneixen també el valor de $q$.)

En particular, es té que $p-1=2 k q$, on $k$ és un nombre enter. D'aquesta manera, el subgrup $G$ de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ generat per $g$ és cíclic, d'ordre primer, $q$, i és format pels elements $g^x$, $1\le x\le q$, de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$.

### 12.2.1. Observació

A fi que aquesta tria sigui útil per al criptosistema ElGamal cal que el problema del logaritme discret en el grup $G$ sigui
computacionalment intractable, encara que aquesta condició no és l'única que cal per a $G$. 
A la pràctica, i per a satisfer la necessitat d'aquesta condició (i d'altres), no es fa servir tot el grup $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ i una arrel primitiva mòdul $p$, sinó un subgrup $G$,generat per un element $g$, potència adequada d'una arrel primitiva.

### 12.2.2. La mida del grup
En l'actualitat (juliol de 2024), sembla prou segur utilitzar nombres primers $p$ tals que l'ordre de $G$, posem $q$, sigui un nombre d'un miler de bits, aproximadament. En el nostre exemple, prendrem com a $p$ un nombre primer de $1024$ bits i tal que $p-1$ sigui divisible per un primer $q$ de $1000$ bits. D'aquesta manera, el nombre enter $k:=\dfrac{p-1}{2q}$ serà un nombre de, com a màxim, $24$ bits, o sigui, relativament petit.

### 12.2.3. Càlcul del grup
El càlcul de nombres $p$, $q$ i $k$ en aquestes condicions no és especialment complicat, i es pot fer a partir d'algoritmes probabilístics. Per exemple, es pot consultar la referència <b>[Tr-PrF]</b>.

### 12.2.4. Càlcul de l'ordre
D'altra banda, la tria d'un element de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ d'ordre $q$ no presenta dificultats. En efecte, si $g_0$ és una arrel primitiva mòdul $p$, l'element $g_0^{2 k}$ és d'ordre $q$, i tots els elements de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ d'ordre $q$ són de la forma $g_0^{2 k}$, per a alguna arrel primitiva mòdul $p$, $g_0$. Per tant, és suficient calcular una arrel primitiva mòdul $p$ i elevar aquesta a la potència $2 k$, mòdul $p$.

### 12.2.5. Exercici
(a) Es demana calcular un nombre primer $p$ de $1024$ bits de manera que $p-1$ sigui el producte d'un nombre primer $q$ de $1000$ bits per un nombre enter parell $2\ k$.

(b) Es demana calcular un element $g$ de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ d'ordre $q$, per als valors $p$, $q$ de l'apartat (a).

## 12.3. Les claus

Quan l'usuari U disposa de $p$, $q$, $k$ i $g$, tria a l'atzar un nombre enter $x$, $1\le x\le q-1$, i calcula $h:= g^x \pmod{p}$. D'aquesta manera, $h$ és un element de $G$.

### 12.3.0. Definició
La clau pública de U és $(p, q, g, h)$; la clau privada de U és $(p, q, g, x)$. Notem que l'única diferència és en $h$ i $x$, mentre que els paràmetres $p$, $q$ i $g$ són comuns; en particular, tots els usuaris del criptosistema poden usar els mateixos $p$, $q$, i $g$.

### 12.3.1. No simetria de les claus
Els nombres $h$ i $x$ de les claus juguen un paper molt diferent. Així com $h$ és un element de $G$, i actua com a tal en el procés
de xifratge, $x$ és un nombre natural, i actua com a tal en el procés de desxifratge. En conseqüència, $x$ i $h$ no són intercanviables, en contraposició a les claus pública i privada del criptosistema RSA, que sí que són intercanviables.

### 12.3.2. Observació
Cal notar que calcular $x$ a partir de $p$, $q$, $g$ i $h$ vol dir calcular el logaritme discret mòdul $p$, de base $g$, per a l'element $h$; per tant, si no podem resoldre aquest problema de logaritme discret, no sabem calcular la clau privada de U a partir de la seva clau pública.

### 12.3.3. Exercici
Es demana crear, a partir dels nombres $p$, $q$ i $g$ de l'exercici <b>12.2.6</b>, una parella de claus, la pública <b>[p, q, g, h]</b>, i la privada corresponent, <b>[p, q, g, x]</b>, per al criptosistema ElGamal. Les anomenarem <b>ClauElGamalPublica</b> i <b>ClauElGamalPrivada</b>.

## 12.4. Xifratge

Les unitats de missatge que es poden xifrar amb el criptosistema ElGamal són els elements de $\mathbb{Z}/p\mathbb{Z}$. En particular, el conjunt d'unitats de missatge vàlides és diferent per a cada usuari si cadascun treballa en un anell diferent, però el mateix
si tots els usuaris treballen amb el mateix valor de $p$; és per això que és còmode usar el mateix valor de $p$ per a tots els
usuaris del criptosistema.

Notem que el conjunt de missatges que poden ser xifrats és més gran que el grup que fem servir per a xifrar; de fet, el grup $G$ és un subgrup de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$ que, alhora, és un subconjunt de $\mathbb{Z}/p\mathbb{Z}$ (i, encara, de tot en prenem representants en $\mathbb{Z}$).

Suposem que la unitat de missatge que es vol xifrar és un element $m$ de $\mathbb{Z}/p\mathbb{Z}$, on $p$ és el nombre primer de la clau de U (a la pràctica, un nombre enter $m$ tal que $0\le m\le p-1$).

L'usuari V que vol enviar el missatge $m$ a U, tria a l'atzar un nombre enter $y$ de l'interval $1\le y\le q-1$ i calcula els dos nombres $c_1:\equiv g^y \pmod{p}$ i $c_2:\equiv m \cdot h^y \pmod{p}$, amb $1\le c_1\le p-1$, $0\le c_2\le p-1$. El missatge xifrat associat a $m$ és la parella de nombres naturals $(c_1,c_2)$.

### 12.4.0. La mida del xifrat
Cal notar que, en el nostre exemple, tant $c_1$ com $c_2$ seran nombres de, com a màxim, $1024$ bits, perquè $p$ és de $1024$ bits. Per tant, la mida del missatge xifrat és el doble de la mida de $p$; en el nostre cas, $2048$ bits.

## 12.5. Desxifratge

Per a desxifrar el missatge, l'usuari U calcula el producte $c_2 c_1^{-x} \pmod{p}$ (pot calcular-lo perquè coneix el valor secret $x$), i això produeix el missatge $m$.

### 12.5.0. Demostració
Es té que $c_2 c_1^{-x}\equiv m h^y (g^y)^{-x}\equiv m (g^x)^y (g^y)^{-x}\equiv m \pmod{p}$. $\square$

### 12.5.1. Observació
Cal notar que les potències de $g$ són elements de $(\mathbb{Z}/p\mathbb{Z})^{\ast}$, de manera que la multiplicació per ells (i pels seus inversos) és possible a tot $\mathbb{Z}/p\mathbb{Z}$, i no cal restringir-se a $G$. Per això els missatges no cal que estiguin en $G$.

## 12.6. Exemple

La funció següent pren com a entrades una llista d'unitats de missatge i una clau pública ElGamal i produeix una llista d'unitats de missatge xifrades amb aquesta clau pública.

In [None]:
def ElGamalX0(mc,claupublica):
    [p,q,g,h]=claupublica
    l=len(mc)
    return [[Mod(g,p)^(y:=ZZ.random_element(1,q)),mod(mc[i]*Mod(h,p)^y,p)] for i in range(l)]


### 12.6.0. Una parella de claus
Observem que, un cop haguem resolt l'exercici 12.3.3, ja disposarem d'una parella de claus pública i privada per al criptosistema ElGamal. 

Suposem que tenim la clau pública en una llista anomenada ClauElGamalPublica0 i que la clau privada és en una
llista anomenada ClauElGamalPrivada0.

(Per si encara no s'ha resolt l'exercici, aquí disposem d'una parella de claus pública i privada de $1024$ bits per al criptosistema ElGamal.)

In [None]:
ClauElGamalPublica0=[163373482070616520482398310743692947258024187555006096588812482689760854417440048731392326852427737973179256721612890171131756272531583884786837102571158146032501965840739494944090227433277986225038717015744064685587300523281291737140262198891946817108834786035512782165528962112703335943007934782543013663987,8983415049707492366013947929288770154408080378818865098827143174875922113435731308268597717117906608851477886358229103001275163145368973373588778441668770617094835602705155884475548301791772112000497798032151367157181752287886979815722241327312486802234956195472172801080349186742689614806715515410213,124405340357782733382026994779058227932934248315057335738978399309754188004187222926637460946631915652593529565790661312284519379103898970862683237930977058092972540974467037935436050218324136871779298774648619650237403112827624131348105999303958508167481127630204548567268816006517698562476647693745716432813,114634913690868408045159549415324390018533038864900907239378466033997484018459815096166888158503233172824344476414885424837171965516241228660874334194045389841214775128782523254874262682250655340421838736085971094886127856882421570368896444892744172958999112584463457220622094255555062909086506118545339158309]

In [None]:
ClauElGamalPrivada0=[163373482070616520482398310743692947258024187555006096588812482689760854417440048731392326852427737973179256721612890171131756272531583884786837102571158146032501965840739494944090227433277986225038717015744064685587300523281291737140262198891946817108834786035512782165528962112703335943007934782543013663987,8983415049707492366013947929288770154408080378818865098827143174875922113435731308268597717117906608851477886358229103001275163145368973373588778441668770617094835602705155884475548301791772112000497798032151367157181752287886979815722241327312486802234956195472172801080349186742689614806715515410213,124405340357782733382026994779058227932934248315057335738978399309754188004187222926637460946631915652593529565790661312284519379103898970862683237930977058092972540974467037935436050218324136871779298774648619650237403112827624131348105999303958508167481127630204548567268816006517698562476647693745716432813,7398067442430323695275948907811118942407247488858854439508534974115728282472772782681541873500452008993913618222146818467748237743113897542085721933409850390391973051876790900148552794830357663742146502508146847362910707198047328894199497948604070960870873737517350449973836145565244003560855801364061]

Seleccionem el valor de $p$ per a poder-hi treballar còmodament (és un component de la clau pública).

In [None]:
pe0 = ClauElGamalPublica0[0]

### 12.6.1.  Un missatge
Ara ens inventem un missatge (de cinc unitats de missatge) aleatori.

In [None]:
m1=[ZZ.random_element(0,pe0) for i in range(5)]

In [None]:
print(m1)

I el xifrem amb la clau pública.

In [None]:
x1=ElGamalX0(m1,ClauElGamalPublica0)

### 12.6.2. Exercici (una funció de desxifratge)
Es demana definir una funció ElGamalDX0(mx,clauprivada) per a desxifrar missatges xifrats amb la funció ElGamalX0(mc,claupublica). Notem que cal produir, a la sortida, el missatge codificat en forma d'una llista d'elements de $\mathbb{Z}/p\mathbb{Z}$, on $p$ és el nombre primer de la clau privada. 

Per a comprovar que funciona bé, es pot provar de desxifrar el missatge x1.

In [None]:
def ElGamalDX0(mx,clauprivada):
    [p,q,g,x]=clauprivada
    l=len(mx)
    return [Mod(mx[i][1],p) * Mod(mx[i][0],p)^(-x) for i in range(l)]


In [None]:
dx1 = ElGamalDX0(x1,ClauElGamalPrivada0)

In [None]:
dx1==m1

## Fi del capítol 12