Ниже — полный перевод текста ноутбука на русский + максимально подробный пошаговый разбор кода (что именно он делает, какие данные откуда берутся и как получаются итоговые результаты).

Примечание: мне пришло сообщение, что часть ранее загруженных файлов могла “протухнуть”, но этот ноутбук MixColumn Attack.ipynb у меня открывается и разбирается нормально. Если ты имел(а) в виду ещё какие-то файлы (прошивки/проекты/трейсы) — их нужно будет загрузить заново.

---

1) Перевод всего текста (Markdown) + объяснение формул

Заголовок

MixColumns/AddRoundKey1 Attack
➡️ Атака на MixColumns / AddRoundKey (первого раунда)

---

Основной текст (перевод)

Анализ для этой атаки заметно сложнее, чем для наших обычных CPA-атак (Correlation Power Analysis). Главная проблема в том, что MixColumns, как следует из названия, смешивает 4 байта одного столбца состояния AES. До этого шага каждый байт обрабатывался независимо, и мы могли атаковать каждый байт отдельно, превращая полный перебор порядка $2^{128}$ в 16 отдельных переборов по $2^8$ (по одному на байт ключа).

Но теперь, из-за MixColumns, нужно рассматривать сразу 4 байта вместе, что в лоб даёт 4 атаки по $2^{32}$. Значит ли это, что если наша модель утечки “пересекает” MixColumns, то атака больше невозможна? К счастью — нет.

Вместо полностью случайного plaintext (как обычно), сделаем так: все байты, кроме первых 4, фиксируем константами. Благодаря ShiftRows, это приведёт к тому, что в каждом столбце будет 3 константных байта и 1 переменный. Операция MixColumns выглядит так (где $v$ — переменный байт, а $c_n$ — константы). Заметь: вход MixColumns — это по сути выход SubBytes (наша обычная точка атаки), потому что ShiftRows значения не меняет, только переставляет байты:

$$\left[\begin{array}{l} d_{0} \\ d_{1} \\ d_{2} \\ d_{3} \end{array}\right]= \left[\begin{array}{llll} 2 & 3 & 1 & 1 \\ 1 & 2 & 3 & 1 \\ 1 & 1 & 2 & 3 \\ 3 & 1 & 1 & 2 \end{array}\right] \left[\begin{array}{l} v \\ c_{1} \\ c_{2} \\ c_{3} \end{array}\right]$$

Например:

$$d_0 = 2v + 3c_1 + c_2 + c_3$$

Три константных слагаемых можно объединить в одну константу:

$$d_0 = 2v + c_a$$

Это не сразу очевидно, но так мы реально уменьшаем сложность с $2^{32}$ до $2^{16}$! Если бы $c_a$ не было, это была бы почти обычная CPA-атака. Значит, если делать CPA для каждого возможного значения $c_a$, можно восстановить ключ.

Но есть проблемы:

1. $2^{16}$ всё ещё большая область поиска → будет долго.
2. Константа входит через XOR/линейное сложение → появляются “ghost peaks” (ложные пики корреляции).
3. Из-за XOR правильные и неправильные значения константы дают очень похожие корреляции.

Вместо этого можно атаковать переменный байт $v$ по одному биту. Это похоже на DPA по одному биту, но мы всё ещё используем корреляцию. Тогда константа влияет только так: если бит константы = 1, корреляция инвертируется по знаку, если 0 — нет. Значит, можно убрать влияние константы, взяв модуль корреляции. Тогда снова получаем атаку уровня $2^8$ и избегаем ghost peaks и “похожести” корреляций из-за константы.

Однако “по одному биту” само по себе работает плохо: одного бита мало для хорошей CPA. Гораздо лучше делать это для каждого бита значения $2v$ и складывать модули корреляций. Причём $v$ появляется не только в $d_0$, но и в других выходах столбца:

$$d_1 = v + 2c_1 + 3c_2 + c_3 = v + c_b$$ $$d_2 = v + c_1 + 2c_2 + 3c_3 = v + c_c$$ $$d_3 = 3v + c_1 + c_2 + 2c_3 = 3v + c_d$$

Добавляя эти точки, мы получаем 32 CPA-атаки (по сути: 4 выхода × 8 бит).

Атака также распространяется на AddRoundKey после MixColumns, потому что это просто ещё один XOR с константой, который “впитывается” в $c_x$.

Если бы нам хватало модели “Hamming weight”, было бы просто — модель утечки:

h = ((2*sbox(pt0 + key0)>>bit) & 0x01

Но с Hamming distance сложнее: ключ можно спрятать в константу $c$, потому что ключ постоянный. Однако нужно правильно сопоставить выход MixColumns с соответствующим байтом входа. Для верхнего байта каждого столбца это просто ($d_0$ ↔ $p_0$, $d_1$ ↔ $p_1$, …), но для остальных байтов возникает сдвиг из-за ShiftRows. Например, при атаке $k_1$, $d_0$ будет соответствовать $p_{12}$, $d_1$ — $p_{13}$, и т.д. Плюс меняется порядок коэффициентов MixColumns: для $pt_0$ идут коэффициенты 2,1,1,3, а для $pt_1$ — 3,2,1,1.

Кроме сложности, у атаки есть недостаток: за одну кампанию захвата она целится только в 4 байта ключа, потому что остальные в столбце должны быть константами. И анализ длинный, потому что нужно сделать 256 CPA-атак, чтобы восстановить все 16 байтов.

Отдельно: если бы не нужно было проходить через ARK1, можно сильно оптимизировать — восстановить константы по знаку корреляции и затем получить ключ из системы уравнений. Это описано в статье ePrint 2019/343.

---

2) Пошаговый разбор кода (что делает каждая ячейка и как получаются данные)

Ниже я буду идти в порядке ячеек ноутбука.

---

Раздел Setup (Настройка)

Ячейка 3

python
import chipwhisperer as cw
scope = cw.scope()
target = cw.target(scope)
scope.default_setup()

## target specific setup after here...

Что происходит:

1. import chipwhisperer as cw — подключаем ChipWhisperer (инструменты измерения/атаки).
2. scope = cw.scope() — создаём объект осциллографа/измерителя (scope).
3. target = cw.target(scope) — создаём объект цели (микроконтроллер/плата, где выполняется AES), связанный со scope.
4. scope.default_setup() — базовая настройка захвата (частоты, усиление, триггер и т.п. — “типовая” конфигурация).
5. Комментарий намекает: дальше часто задают конкретные параметры под железо (baudrate, clock, trigger, offset…), но в ноутбуке это не расписано.

Какие данные появляются:

• scope — источник сырых измерений (трейсы).
• target — интерфейс для отправки ключа/текста и запуска шифрования.

---

Раздел Capture (Снятие трасс)

Ячейка 5

python
from tqdm.notebook import trange
import cwtvla
import numpy as np

ktp = cw.ktp.VarVec()
key, pt = ktp.next()
scope.adc.samples = 3000
N = 1000
projects = []

target.simpleserial_write('k', key)
target.simpleserial_wait_ack()

for cmpgn in trange(4):
    project = cw.create_project(f"Var_Vec_{cmpgn}", overwrite=True)
    projects.append(project)
    for i in trange(N, leave=False):
        ktp.var_vec = cmpgn
        key, text = ktp.next()
        trace = cw.capture_trace(scope, target, text, key)
        if trace is None:
            continue
        project.traces.append(trace)
    project.save()

Что здесь делается — по шагам

1) Импорты

• trange — прогресс-бар в Jupyter.
• cwtvla — библиотека для TVLA/статистик (в этой ячейке не используется дальше, просто импорт).
• numpy — массивы.

2) Генератор входов KTP: VarVec

• ktp = cw.ktp.VarVec() — создаётся Key/Text Pattern generator (генератор ключей/текстов) специального типа “VarVec”.
• Идея VarVec в контексте ноутбука: делать 4 “кампании”, где меняются только байты одного столбца/определённого набора, а остальные байты plaintext остаются константными (это нужно для логики атаки через MixColumns).

3) Берём первый набор

• key, pt = ktp.next() — получаем стартовый ключ и plaintext (используется, чтобы задать ключ на target и начать).

4) Настройки захвата

• scope.adc.samples = 3000 — длина одного трейса: 3000 отсчётов АЦП.
• N = 1000 — число трейсов на кампанию.
• projects = [] — список проектов ChipWhisperer для хранения трейсов.

5) Установка ключа на устройство

• target.simpleserial_write('k', key) — отправляем ключ в прошивку цели через SimpleSerial командой 'k'.
• target.simpleserial_wait_ack() — ждём подтверждение, что ключ принят.

6) 4 кампании захвата

python
for cmpgn in trange(4):

Значит: будет 4 набора трейсов, обычно соответствующие 4 столбцам AES-состояния / 4 вариантам VarVec.

Внутри:

• project = cw.create_project(f"Var_Vec_{cmpgn}", overwrite=True)
  создаём проект Var_Vec_0, Var_Vec_1, Var_Vec_2, Var_Vec_3.

• ktp.var_vec = cmpgn
  переключаем режим генератора: какой именно “вектор” байтов варьировать в этой кампании.

• key, text = ktp.next()
  получаем очередной plaintext text (и ключ key, но ключ в таких генераторах часто один и тот же; здесь он всё равно прокидывается в capture_trace).

• trace = cw.capture_trace(scope, target, text, key)
  ключевая строка:

  1. ChipWhisperer отправляет text и key на target (как устроено — зависит от прошивки),
  2. target шифрует AES,
  3. scope записывает осциллограмму потребления/EM,
  4. результат упаковывается в объект trace, где обычно есть:
     • trace.wave (массив измерений),
     • trace.textin (входной plaintext),
     • trace.key (ключ),
     • возможно trace.textout (ciphertext).

• if trace is None: continue
  если захват не удался — пропускаем.

• project.traces.append(trace)
  сохраняем трейс в проект.

• project.save()
  сохраняем проект на диск.

Какие данные получаются на выходе capture

Для каждого project:

• project.waves — матрица N × 3000 (примерно): N трейсов по 3000 отсчётов.
• project.textins — массив plaintext’ов (N × 16 байтов).
• project.keys — ключ(и); обычно одинаковый для всех трейсов.
• Всё это используется в анализе.

---

Ячейка 6 (быстрая визуальная проверка)

python
%matplotlib notebook
import matplotlib.pyplot as plt
plt.figure()
for i in range(5):
    plt.plot(projects[0].waves[i])
    
plt.show()

Что делает:

• включает интерактивный режим графиков,
• рисует первые 5 трейсов из кампании projects[0], чтобы посмотреть:
  • есть ли сигнал,
  • есть ли синхронизация,
  • нет ли явных проблем (пустые линии/шум/срыв триггера).

---

Раздел Analysis (Анализ)

Ячейка 8

python
import chipwhisperer as cw
projects = []
for i in range(4):
    project = cw.open_project(f"Var_Vec_{i}")
    projects.append(project)

Что делает:

• заново открывает сохранённые проекты Var_Vec_0..3,
• складывает их в список projects.

---

Ячейка 9

python
from chipwhisperer.analyzer.attacks.attack_mix_columns import AttackMixColumns
attack = AttackMixColumns(projects)
results = attack.run()

Идея:

• используется готовая реализация атаки “MixColumns attack” из ChipWhisperer Analyzer.
• AttackMixColumns(projects) получает все 4 кампании, потому что каждая кампания раскрывает свои 4 байта ключа.
• results = attack.run() возвращает структуру результатов (словарь).

Какие данные в results (по тому, как ниже используется):

• results["guess"] — массив длины 16: угаданные байты ключа.
• results["corr"] — корреляции (обычно что-то вроде: для каждого байта ключа → для каждого гипотезного значения 0..255 → корреляция по времени).

(Точную внутреннюю реализацию мы здесь не видим в ноутбуке, но по использованию ниже видно формат.)

---

Ячейка 10 (сравнение угаданного ключа с реальным)

python
print(bytearray(results["guess"]))
print(bytearray(projects[0].keys[0]))

• bytearray(results["guess"]) — печатает найденный ключ.
• projects[0].keys[0] — “истинный” ключ, сохранённый в проекте (первый трейс, первый ключ).

---

Ячейка 11 (графики корреляций по байтам и проверка “пиков”)

python
%matplotlib notebook
import matplotlib.pyplot as plt
import numpy as np
plt.figure()
for i in range(16):
    c = results["corr"][i]
    maxes = np.max(c, axis=1)
    guess = np.argsort(maxes)[-1]
    guess2 = np.argsort(maxes)[-2]
    actual = projects[0].keys[0][i]
    x = np.argmax(c[actual])
    if guess != actual:
        plt.plot(c[guess], "g-")
    else:
        plt.plot(c[guess2], "g-")
    plt.plot(c[actual], "r--")
    plt.plot(x, c[actual][x], "ro")
    print(f"Best guess {hex(guess)} (corr={maxes[guess]}), next best = {maxes[guess2]}, real = {maxes[actual]}")
plt.show()

Разбор по шагам:

• for i in range(16): идём по каждому байту ключа.

• c = results["corr"][i] — берём таблицу корреляций для i-го байта. Обычно форма:

  • строки: 256 гипотез (0..255),
  • столбцы: 3000 временных отсчётов (или сколько в трейсе).

• maxes = np.max(c, axis=1) — для каждой гипотезы берём максимальную корреляцию по времени. Получаем массив длины 256.

• guess = np.argsort(maxes)[-1] — индекс гипотезы с самым большим максимумом → лучший кандидат.

• guess2 = ...[-2] — второй кандидат.

• actual = projects[0].keys[0][i] — истинный байт ключа.

• x = np.argmax(c[actual]) — где по времени истинная гипотеза даёт максимальный пик.

• дальше графики:

  • зелёная линия — либо лучшая гипотеза (если она неверная), либо вторая лучшая (если лучшая совпала с истинной), чтобы было видно сравнение.
  • красная пунктирная — истинная гипотеза.
  • красная точка — место максимума истинной гипотезы.

• print(...) выводит численно: лучший guess, его корреляцию, второй, и реальную корреляцию.

---

Раздел Original Implementations (Оригинальные реализации)

Тут автор оставил “референсную” реализацию атаки через библиотеку scared (часто используется для side-channel анализа). Эти ячейки показывают как можно реализовать ту же идею вручную.

---

3) Самая важная часть: что за “галуа-таблицы” gal2 и gal3 и зачем они

В AES MixColumns умножение идёт в поле $GF(2^8)$. Коэффициенты матрицы — {01,02,03}.
То есть нужны операции:

• $2 \cdot x$ (умножение на 2 в поле)
• $3 \cdot x = (2 \cdot x) \oplus x$

Чтобы не вычислять это каждый раз, делают lookup-таблицы на 256 значений:

• gal2[x] = 2*x в GF(2^8)
• gal3[x] = 3*x в GF(2^8)

Именно это и задано в ячейках 13 и 19 огромными массивами на 256 байт.

---

4) Как устроены selection functions (round_gen_0..3) — что они моделируют

Общая идея CPA в этом ноутбуке

Для каждого трейсa $t_j$ у нас есть известный plaintext (16 байт).
Мы перебираем гипотезы одного байта ключа $k \in [0..255]$ и считаем промежуточное значение (внутри AES), например:

$$v = SBox(p \oplus k)$$

Дальше для MixColumns надо получить выражения типа:

• $2v$, $v$, $v$, $3v$ (для разных выходов столбца)

Поскольку константы неизвестны (они зависят от остальных байтов столбца + round key), автор берёт побитовую модель и потом использует модуль корреляции, чтобы убрать влияние констант (инверсию знака).

---

5) Ячейка 15 — ручной CPA по битам и суммирование |corr|

Это главный “ручной” цикл атаки:

python
for campaign in trange(0,4):
    b = None
    cw_traces = estraces.read_ths_from_ram(np.array(projects[campaign].waves)[:n_traces,:], 
                                      plaintext=np.array([textin for textin in projects[campaign].textins], dtype='uint8')[:n_traces])

    for t in trange(4, leave=False):
        for i in trange(8, leave=False):
            container = scared.Container(cw_traces)
            a = scared.CPAAttack(selection_function=leakage_cmpgns[campaign][t],
                                model=scared.Monobit(i),
                                discriminant=scared.maxabs)

            a.run(container)
            if b is None:
                b = abs(a.results)
            else:
                b += abs(a.results)

Что это означает

1. Берём кампанию campaign = 0..3.
   Каждая кампания “заточена” под свои 4 байта ключа.

2. cw_traces = estraces.read_ths_from_ram(...)
   Он превращает массивы ChipWhisperer в формат, который понимает scared:

• projects[campaign].waves → трейс-матрица (n_traces × samples)
• projects[campaign].textins → plaintext-матрица (n_traces × 16)

3. Дальше двойной цикл:

• t in range(4) — это 4 разных “ветки”/комбинации коэффициентов MixColumns (условно: что соответствует $2v$, $v$, $v$, $3v$).
• i in range(8) — биты 0..7.

4. scared.CPAAttack(...) создаёт CPA-атаку:

• selection_function = leakage_cmpgns[campaign][t]
  это функция, которая для всех трейсoв и всех гипотез ключа вычисляет предсказанные промежуточные значения.
• model = scared.Monobit(i)
  означает “используй только i-й бит значения как модель утечки”.
• discriminant = scared.maxabs
  означает “мерой качества гипотезы возьми максимальную по времени |corr|”.

5. a.run(container) — считает корреляции гипотез с реальными трейcами.

6. b = abs(a.results) и b += abs(a.results)
   Ключевая идея ноутбука:

• берём модули корреляций, чтобы убрать эффект неизвестных констант (которые могут только переворачивать знак),
• затем суммируем по:
  • всем 8 битам,
  • всем 4 “точкам/коэффициентам” $2v, v, v, 3v$.

В итоге b — это “усиленная” статистика, где правильная гипотеза ключа должна выделяться сильнее.

---

6) Как из b получается итоговый ключ (в конце ячейки 15)

python
for i in range(0+4*campaign, 4+4*campaign):
    c = np.nan_to_num(b[:,i,:])
    maxes = np.max(c, axis=1)
    guess = np.argsort(maxes)[-1]
    ...
    key_guess.append(guess)

Разбор:

• i пробегает 4 байта, относящиеся к текущей кампании:

  • campaign 0 → байты 0..3
  • campaign 1 → байты 4..7
  • campaign 2 → байты 8..11
  • campaign 3 → байты 12..15

• c = np.nan_to_num(b[:,i,:])
  берём срез по конкретному байту ключа i:

  • первая ось — гипотезы (256),
  • последняя — время (samples). nan_to_num убирает NaN (на всякий случай).

• maxes = np.max(c, axis=1)
  для каждой гипотезы берём максимальный пик по времени.

• guess = ... выбираем гипотезу с самым большим пиком.

• сохраняем в key_guess.

---

7) Зачем в ячейках 13 и 19 две версии round_gen_* (HW vs HD)

Ты заметишь, что в “оригинальных реализациях” есть две похожие группы функций:

• В одной версии (ячейка 13) внутри:

  python
  res[:,i,:] = np.bitwise_xor(0, ...)

  Это фактически модель Hamming Weight (HW): сравнение с нулём → “сколько единичных бит”.

• В другой версии (ячейка 19) внутри:

  python
  res[:,i,:] = np.bitwise_xor(new_pt, ...)

  Это уже похоже на Hamming Distance (HD):

  $$HD(x,y) = HW(x \oplus y)$$

  Здесь new_pt выступает как “предыдущее значение” (то, с чем сравнивают), а ... — “новое значение” (например, выход после MixColumns/ARK).

Именно поэтому в тексте выше и написано, что HD сложнее: нужно правильно выстроить соответствия байтов из-за ShiftRows — этим и занимаются lut_input и lut_mix_column.

---

8) Что делают lut_input и lut_mix_column (очень важно)

lut_input

python
lut_input = [[0, 1, 2, 3],
        [4, 5, 6, 7],
        [8, 9, 10, 11],
        [12, 13, 14, 15]]

Это просто “группы из 4 байт” (по 4 на кампанию). То есть “какие байты ключа” мы извлекаем в этой кампании.

lut_mix_column

В каждой round_gen_* есть своя таблица lut_mix_column = [[...],[...],...].

Смысл: из-за ShiftRows байты “переезжают”, поэтому чтобы в HD-модели сравнить правильные пары “до/после”, нужно выбрать правильные plaintext-байты, которые соответствуют конкретному выходу MixColumns в данном столбце/раунде. Эти LUT как раз кодируют:

• какой plaintext-индекс соответствует текущему $d_0,d_1,d_2,d_3$ для данной кампании.

---

9) Ячейки 17 и 18 — отладочные графики

Ячейка 17

python
plt.plot(c[0x16])
plt.plot(c[0x7f])

Рисуют корреляционные кривые для двух конкретных гипотез ключа (0x16 и 0x7f) — для сравнения.

Ячейка 18

python
for i in range(256):
    plt.plot(c[i])

Рисует все 256 гипотез сразу (обычно это “лес” линий), чтобы визуально увидеть, выделяется ли правильная.

---

10) Короткая “сводка”, как именно получаются данные от начала до конца

1. Генерация входов: ktp = cw.ktp.VarVec()

   • на каждой кампании ktp.var_vec = cmpgn выбирает, какие 4 байта plaintext будут варьироваться, остальные фиксированы.

2. Снятие сигналов: cw.capture_trace(scope, target, text, key)

   • подаём plaintext/ключ,
   • цель шифрует AES,
   • scope снимает потребление (массив длины 3000),
   • всё сохраняется в project.

3. Получение “истины”: projects[0].keys[0]

   • реальный ключ, с которым работало устройство (для проверки результата).

4. Атака:

   • либо готовой AttackMixColumns(projects).run() → results["guess"], results["corr"];
   • либо вручную через scared:
     • считаем промежуточные значения $SBox(p\oplus k)$,
     • строим варианты $2v, v, v, 3v$ (gal2/gal3),
     • делаем CPA по каждому биту,
     • берём abs(corr) чтобы убрать неизвестные константы,
     • суммируем по битам и точкам,
     • выбираем гипотезу с самым большим пиком.

---

Если хочешь, я могу в следующем сообщении сделать “перевод прямо в стиле учебника”: отдельно расписать один конкретный байт, пройти весь путь:

$$p \rightarrow (p\oplus k) \rightarrow SBox \rightarrow MixColumns \rightarrow \text{битовая модель} \rightarrow corr \rightarrow \text{выбор guess}$$

и показать на примере, почему модуль корреляции убирает неизвестную константу (знак).

Скажи только, ты хочешь объяснение больше в сторону:

1. криптоматематики AES/MixColumns, или
2. практики side-channel/CPA (как устроены корреляции и выбор пика)?

Понял — давай именно криптоматематически и пошагово, почему сложность падает с $2^{32}$ → $2^{16}$ → $2^{8}$, и за счёт чего.

Маленькое уточнение: часть загруженных ранее файлов у меня “протухла”, поэтому я опираюсь на твой фрагмент и общую математику AES/MixColumns (она тут ключевая). Если нужно привязать объяснение к конкретным строкам кода из ноутбука — загрузи его ещё раз.

---

0) Что означают «плюс» и коэффициенты 2,3 в формулах AES

В MixColumns всё считается в поле $GF(2^8)$:

• Сложение — это XOR: $$a+b \equiv a \oplus b$$
• Умножение на 2 и 3 — это умножение в $GF(2^8)$ по модулю неприводимого многочлена AES $x^8+x^4+x^3+x+1$.
  На практике:
  • $2\cdot x = \text{xtime}(x)$
  • $3\cdot x = (2\cdot x)\oplus x$

Поэтому запись вида:

$$d_0 = 2v + 3c_1 + c_2 + c_3$$

строго означает:

$$d_0 = (2\cdot v)\ \oplus\ (3\cdot c_1)\ \oplus\ c_2\ \oplus\ c_3$$

---

1) Почему “в лоб” получается $2^{32}$

1.1. Что такое вход в MixColumns

Берём один столбец состояния AES (4 байта). В первом раунде перед MixColumns есть SubBytes и ShiftRows.

Пусть на вход MixColumns в одном столбце приходят байты:

$$x = \begin{bmatrix} x_0\\x_1\\x_2\\x_3\end{bmatrix}$$

Они обычно равны:

$$x_i = SBox(p_i \oplus k_i)$$

где $p_i$ — байт plaintext (после нужных перестановок ShiftRows), $k_i$ — соответствующий байт ключа раунда (или master key до key schedule — зависит от точки атаки).

1.2. MixColumns смешивает 4 байта

$$d = M \cdot x$$

где

$$M= \begin{bmatrix} 2&3&1&1\\ 1&2&3&1\\ 1&1&2&3\\ 3&1&1&2 \end{bmatrix}$$

Например:

$$d_0 = 2x_0 \oplus 3x_1 \oplus x_2 \oplus x_3$$

1.3. Где берётся $2^{32}$

Если plaintext’ы случайные, то каждый $x_0,x_1,x_2,x_3$ меняется от трассы к трассе и зависит от своего байта ключа $k_0,k_1,k_2,k_3$.

Чтобы предсказать $d_0$ для каждой трассы, нужно знать все 4 ключевых байта ⇒ пространство гипотез:

$$(k_0,k_1,k_2,k_3)\in (2^8)^4 = 2^{32}$$

Это и есть “в лоб” сложность для одного столбца.

---

2) Как “chosen plaintext” превращает 3 байта в константы и даёт $2^{16}$

Ключевой трюк: фиксируем 3 байта, а меняем только 1.

2.1. Что делаем с plaintext

Мы подбираем набор plaintext’ов так, чтобы (после ShiftRows!) в атакуемом столбце:

• один байт менялся от трассы к трассе (обозначим $p_v^{(t)}$),
• остальные три были одинаковыми для всех трасс (константы $p_{c1}, p_{c2}, p_{c3}$).

Тогда после SubBytes получаем:

• переменный: $$v^{(t)} = SBox(p_v^{(t)} \oplus k_v)$$
• три постоянных по трассам значения: $$c_1 = SBox(p_{c1} \oplus k_{c1}),\quad c_2 = SBox(p_{c2} \oplus k_{c2}),\quad c_3 = SBox(p_{c3} \oplus k_{c3})$$

Важно: $c_1,c_2,c_3$ неизвестны атакующему, потому что зависят от неизвестных $k_{c1},k_{c2},k_{c3}$.
Но они константы внутри кампании, потому что ключ фиксирован и эти plaintext-байты фиксированы.

2.2. Подставляем в MixColumns

Ты привёл:

$$d_0 = 2v + 3c_1 + c_2 + c_3$$

то есть

$$d_0^{(t)} = (2\cdot v^{(t)}) \oplus (3\cdot c_1) \oplus c_2 \oplus c_3$$

2.3. Почему “три слагаемых объединяются в одну константу”

Потому что XOR ассоциативен и коммутативен, а все эти куски не зависят от t:

$$c_a = (3\cdot c_1)\oplus c_2\oplus c_3$$

Тогда:

$$d_0^{(t)} = (2\cdot v^{(t)}) \oplus c_a$$

Это не “магия”, а стандартная линейность:

• MixColumns — линейное преобразование над $GF(2^8)$,
• фиксированные входы дают фиксированный вклад на выходе.

2.4. Где появляется $2^{16}$

Если твоя модель утечки пытается предсказывать целый байт $d_0$ (например HW($d_0$)), то чтобы вычислить предсказание для каждой трассы, нужно знать:

• $k_v$ (чтобы получить $v^{(t)}$) → $2^8$ вариантов
• $c_a$ (неизвестная 8-битная константа) → $2^8$ вариантов

Итого:

$$2^8 \cdot 2^8 = 2^{16}$$

Почему это меньше, чем $2^{32}$:
раньше надо было угадывать 3 дополнительных ключевых байта (24 бита неизвестности).
Теперь эти 24 бита “сжались” в 1 байт константы на выходе (8 бит), потому что они перестали меняться по трассам и их вклад стал просто “постоянным смещением” после линейной операции.

---

3) Почему можно уйти от $2^{16}$ к $2^{8}$: атака “по одному биту” + модуль корреляции

Теперь самое важное: как именно исчезает необходимость угадывать $c_a$.

3.1. Рассмотрим один бит выходного байта

Пусть нас интересует $i$-й бит ($i=0..7$):

$$b^{(t)} = \text{bit}_i\big(d_0^{(t)}\big) = \text{bit}_i\big((2v^{(t)}) \oplus c_a\big)$$

На уровне одного бита XOR работает просто:

Обозначим:

• $b_0^{(t)} = \text{bit}_i(2v^{(t)})$
• $s = \text{bit}_i(c_a)$ — константа (один бит, не меняется по трассам)

Тогда:

$$b^{(t)} = b_0^{(t)} \oplus s$$

То есть:

• если $s=0$, то $b^{(t)} = b_0^{(t)}$
• если $s=1$, то $b^{(t)} = \neg b_0^{(t)}$ (бит инвертируется)

3.2. Почему это даёт “инверсию знака корреляции”

CPA обычно считает корреляцию между измерением $L^{(t)}$ и предсказанием $b^{(t)}$ (как 0/1 или центрированное).

Если мы заменим $b^{(t)}$ на $1-b^{(t)}$, то это линейное преобразование:

$$1-b = -b + 1$$

Корреляция инвариантна к добавлению константы и меняет знак при умножении на $-1$:

$$corr(L,\,1-b) = corr(L,\,-b+1) = -corr(L,\,b)$$

Значит:

• правильный ключ при $s=0$ даёт корреляцию $+\rho$
• правильный ключ при $s=1$ даёт корреляцию $-\rho$

Но модуль одинаковый: $|+\rho|=|-\rho|$.

3.3. Следствие: можно НЕ угадывать $s$ и $c_a$

Если мы для каждого ключевого предположения $k_v$ считаем корреляцию между $L$ и $b_0^{(t)}=\text{bit}_i(2v^{(t)})$, а потом берём модуль:

$$score(k_v)=\left|corr(L,\,b_0)\right|$$

то неизвестный бит $s$ просто решает, будет знак “+” или “−”, а модуль это убирает.

Итого поиск остаётся только по $k_v$:

$$2^8$$

Вот это и есть математическая причина падения $2^{16}\to 2^8$.

---

4) Почему “по одному биту” слабо и зачем суммировать 32 атаки

4.1. Почему одного бита мало

Один бит несёт мало информации и имеет плохое отношение сигнал/шум. Поэтому делают так:

• берут все 8 бит: $$Score(k)=\sum_{i=0}^{7} \left|corr(L,\,\text{bit}_i(2v))\right|$$

Это резко усиливает правильный ключ (он систематически даёт пики), а неправильные ключи “в среднем” не накапливают согласованный сигнал.

4.2. Почему становится 32 CPA

Потому что $v$ влияет не только на $d_0$.

Если вход столбца $[v,c_1,c_2,c_3]^T$, то:

• $d_0 = 2v \oplus c_a$
• $d_1 = 1v \oplus c_b$
• $d_2 = 1v \oplus c_c$
• $d_3 = 3v \oplus c_d$

Каждый из $d_j$ даёт ещё 8 бит → итого $4 \times 8 = 32$ “монобитных” корреляций, которые суммируют по модулю.

---

5) Почему AddRoundKey после MixColumns “тоже впитывается в константу”

После MixColumns идёт XOR с байтом round key:

$$d'_0 = d_0 \oplus rk_0$$

Подставим:

$$d'_0 = (2v \oplus c_a)\oplus rk_0 = 2v \oplus (c_a \oplus rk_0)$$

Новая константа:

$$c_a' = c_a \oplus rk_0$$

тоже постоянна по трассам ⇒ вся логика выше сохраняется.

---

6) Коротко: почему “уменьшение сложности” вообще возможно

Сводка причин (по сути “почему degrees of freedom падают”):

1. MixColumns линейна → вклад фиксированных входов превращается в фиксированную константу на выходе.
2. Chosen plaintext фиксирует 3 из 4 входов столбца → вместо 3 неизвестных байтов, меняющихся от трассы к трассе, мы получаем 3 неизвестных константы, не меняющихся по трассам.
3. Для байтовой модели это уменьшает гипотезы с $2^{32}$ до $2^{16}$, потому что вместо угадывания 3 байтов ключа мы угадываем 1 байт “суммарной константы”.
4. Для битовой модели константа даёт лишь инверсию нужного бита → корреляция меняет знак → берём модуль → константа исчезает → остаётся $2^8$.

---

Если хочешь, я могу дальше сделать совсем “на пальцах” с мини-примером на байтах (взять конкретные $c_1,c_2,c_3$, показать как считается $c_a$, и как один бит действительно превращается в “то же самое, но с минусом” в корреляции).

Ок — сделаю ровно то, что ты просишь: тот же код (логика не меняется) + рядом/внутри максимально подробные “словами” комментарии, которые связывают математику AES/MixColumns ( $2v \oplus c_a$ и т.п.) с тем, что именно делает каждая строчка.

Важно: часть файлов, которые ты загружал раньше, у меня “протухла”, но для этой задачи это не критично — ты уже вставил весь нужный код. Если потом захочешь, чтобы я привязал пояснение к конкретным трейс-данным/ноутбуку — просто перезагрузи файл.

Ниже я дам:

1. Аннотированный код (я добавляю только комментарии # ... и поясняющие блоки — выполнение не меняют).
2. Сверх-подробную расшифровку, как именно в этом коде реализуется идея “сложность падает с $2^{32}\to 2^{16}\to 2^8$” и почему abs(corr) убирает неизвестную константу.

---

1) ТВОЙ КОД с максимально подробными комментариями (логика та же)

⚠️ Таблицы gal2 и gal3 у тебя огромные и уже корректно вставлены. Чтобы не допустить ни одной ошибки в байте при перепечатке, я оставляю их как есть (вставь их блоки ровно из твоего текста). Всё остальное — 1-в-1.

python
%%time
import scared
import estraces
import numpy as np
from tqdm.notebook import trange

# ============================================================
# TABLES (gal2 / gal3) — НЕ МЕНЯЕМ
# ============================================================
# gal2[x] = 2*x в поле GF(2^8) (AES xtime)
# gal3[x] = 3*x = (2*x) XOR x в поле GF(2^8)
#
# Это ровно те коэффициенты, которые нужны в MixColumns:
#   d0 = 2*x0 ⊕ 3*x1 ⊕ 1*x2 ⊕ 1*x3
#   d1 = 1*x0 ⊕ 2*x1 ⊕ 3*x2 ⊕ 1*x3
#   d2 = 1*x0 ⊕ 1*x1 ⊕ 2*x2 ⊕ 3*x3
#   d3 = 3*x0 ⊕ 1*x1 ⊕ 1*x2 ⊕ 2*x3
#
# Где xi — байты на вход MixColumns (после SubBytes и ShiftRows).

gal2 = np.array(( ... ТВОЙ БЛОК gal2 БЕЗ ИЗМЕНЕНИЙ ... ), dtype='uint8')
gal3 = np.array(( ... ТВОЙ БЛОК gal3 БЕЗ ИЗМЕНЕНИЙ ... ), dtype='uint8')


# ============================================================
# MIN FIX CONFIG
# ============================================================
# vec_type:
#   "column" означает, что одна "кампания" соответствует набору байтов как "столбец"
#   "row"    означает, что одна "кампания" соответствует набору байтов как "строка"
#
# Почему это важно:
#   VarVec делает chosen-plaintext структуру, где внутри каждого MixColumns столбца
#   3 байта константные, 1 байт переменный.
#   Но какие именно индексы байтов переменные — зависит от того, как VarVec организован.
#
# use_hd:
#   True  -> Hamming Distance модель: утечка ≈ HW( old ⊕ new )
#   False -> Hamming Weight модель:    утечка ≈ HW( new ) (old=0)
#
# В твоём коде это реализовано как:
#   res = new_pt XOR (что-то)
# где new_pt — "old", а (что-то) — "new".

vec_type = "row"     # "row" или "column"
use_hd  = True       # True = HD (как в CW AttackMixColumns), False = HW (new_pt=0)


# lut_input:
#   Группировка индексов байтов состояния AES (16 байт).
#   Обычно state индексируют так:
#     [ 0  1  2  3
#       4  5  6  7
#       8  9 10 11
#      12 13 14 15 ]
#
# lut_input_col: "кампания" = 4 подряд идущих байта (0..3), (4..7), (8..11), (12..15)
# lut_input_row: транспонированно -> (0,4,8,12), (1,5,9,13), (2,6,10,14), (3,7,11,15)

lut_input = [[0, 1, 2, 3],
             [4, 5, 6, 7],
             [8, 9, 10, 11],
             [12, 13, 14, 15]]

lut_input_col = lut_input
lut_input_row = np.array(lut_input_col, dtype=int).T.tolist()


# ============================================================
# round_gen_* : selection functions для CPA
# ============================================================
# Эти функции — СЕРДЦЕ атаки.
# Они НЕ атакуют ключ напрямую. Они генерируют "предсказанные промежуточные значения"
# (hypothetical intermediates) для всех гипотез key-byte guess = 0..255.
#
# Затем scared.CPAAttack:
#   - берёт реальные трейсы (waves)
#   - берёт предсказания (res)
#   - строит корреляцию corr(trace_sample, model(prediction))
#
# Важно:
#   Внутри каждой round_gen_*:
#     s = SubBytes(plaintext XOR guess)
#   Это означает:
#     для КАЖДОГО байта позиции j:
#        s[t, j] = SBox( plaintext[t, j] XOR guess )
#
# То есть guess "применяется" ко всем 16 позициям сразу,
# но ПОТОМ ты выбираешь лучший guess отдельно для каждого byte-index bi,
# когда делаешь b[:, bi, :].
#
# Почему так можно:
#   Потому что CPA считает корреляцию для каждого bi отдельно,
#   и для данного bi правильный будет тот guess, который совпал с истинным key[bi].


def round_gen_0(plaintext, guesses, cmpgn):
    # lut_mix_column — это таблица соответствий, которая учитывает ShiftRows/раскладку VarVec:
    # она говорит: "какой байт plaintext является тем самым байтом,
    # который реально попадает в нужное место столбца перед MixColumns".
    #
    # У round_gen_0 коэффициент будет 2*... (gal2),
    # то есть мы моделируем вклад вида "2*v" в уравнениях d0/d1/d2/d3.

    lut_mix_column = [[0, 13, 10, 7],
                      [4, 1, 14, 11],
                      [8, 5, 2, 15],
                      [12, 9, 6, 3]]

    plaintext = np.asarray(plaintext, dtype=np.uint8)   # shape: (N, 16)
    guesses   = np.asarray(guesses, dtype=np.uint8)     # shape: (256,)

    # Выбор, как группировать 4 байта кампании
    lut_in = lut_input_row if vec_type == "row" else lut_input_col

    # Если VarVec "row", то у нас другая геометрия кампаний => транспонируем
    if vec_type == "row":
        lut_mix_column = np.array(lut_mix_column, dtype=int).T.tolist()

    # res: (число_трейсов, 256 гипотез, 16 байтов состояния)
    res = np.empty((plaintext.shape[0], len(guesses), plaintext.shape[1]), dtype='uint8')

    # ---- HD/HW часть ----
    # use_hd=True:
    #   new_pt — "старое значение" (old) для HD модели.
    #   Мы собираем new_pt так, чтобы old-байт соответствовал той же "логической позиции",
    #   что и new-байт после SubBytes/MixColumns (учёт ShiftRows через lut_mix_column).
    #
    # use_hd=False:
    #   new_pt = 0, тогда res = 0 XOR new = new -> HW модель.

    if use_hd:
        new_pt = np.zeros((plaintext.shape[0], 16), dtype='uint8')

        # Смысл этих 4 присваиваний:
        #   В кампании cmpgn атакуются 4 байта (по одному в каждом столбце после ShiftRows).
        #   Мы берём 4 "источника" из plaintext (через lut_mix_column[cmpgn][*])
        #   и кладём их в 4 "целевых" позиции (через lut_in[cmpgn][*]).
        #
        # Это нужно, чтобы HD = HW(old XOR new) считался для правильной пары (old,new).

        new_pt[:, lut_in[cmpgn][0]] = plaintext[:, lut_mix_column[cmpgn][0]]
        new_pt[:, lut_in[cmpgn][1]] = plaintext[:, lut_mix_column[cmpgn][1]]
        new_pt[:, lut_in[cmpgn][2]] = plaintext[:, lut_mix_column[cmpgn][2]]
        new_pt[:, lut_in[cmpgn][3]] = plaintext[:, lut_mix_column[cmpgn][3]]
    else:
        new_pt = 0

    # ---- Ключевой цикл по гипотезам guess ----
    for i, guess in enumerate(guesses):
        # s = SBox( plaintext XOR guess )
        # Это моделирует SubBytes после AddRoundKey (по байту).
        s = scared.aes.sub_bytes(np.bitwise_xor(plaintext, guess))

        # round_gen_0 -> "2 * s" (gal2)
        # res = old XOR new
        res[:, i, :] = np.bitwise_xor(new_pt, gal2[s])

    return res


def round_gen_1(plaintext, guesses, cmpgn):
    # round_gen_1 моделирует коэффициент 1*... (то есть просто s),
    # но для ДРУГОГО соответствия байтов (другой lut_mix_column),
    # т.к. это другая выходная позиция MixColumns (другая строка d1/d2 и т.п.).

    lut_mix_column = [[1, 14, 11, 4],
                      [5, 2, 15, 8],
                      [9, 6, 3, 12],
                      [13, 10, 7, 0]]

    plaintext = np.asarray(plaintext, dtype=np.uint8)
    guesses   = np.asarray(guesses, dtype=np.uint8)

    lut_in = lut_input_row if vec_type == "row" else lut_input_col
    if vec_type == "row":
        lut_mix_column = np.array(lut_mix_column, dtype=int).T.tolist()

    res = np.empty((plaintext.shape[0], len(guesses), plaintext.shape[1]), dtype='uint8')

    if use_hd:
        new_pt = np.zeros((plaintext.shape[0], 16), dtype='uint8')
        new_pt[:, lut_in[cmpgn][0]] = plaintext[:, lut_mix_column[cmpgn][0]]
        new_pt[:, lut_in[cmpgn][1]] = plaintext[:, lut_mix_column[cmpgn][1]]
        new_pt[:, lut_in[cmpgn][2]] = plaintext[:, lut_mix_column[cmpgn][2]]
        new_pt[:, lut_in[cmpgn][3]] = plaintext[:, lut_mix_column[cmpgn][3]]
    else:
        new_pt = 0

    for i, guess in enumerate(guesses):
        s = scared.aes.sub_bytes(np.bitwise_xor(plaintext, guess))
        # round_gen_1 -> коэффициент 1 (s)
        res[:, i, :] = np.bitwise_xor(new_pt, s)

    return res


def round_gen_2(plaintext, guesses, cmpgn):
    # round_gen_2 тоже коэффициент 1 (s),
    # но опять другое соответствие байтов (другая "точка" d2 условно).

    lut_mix_column = [[2, 15, 8, 5],
                      [6, 3, 12, 9],
                      [10, 7, 0, 13],
                      [14, 11, 4, 1]]

    plaintext = np.asarray(plaintext, dtype=np.uint8)
    guesses   = np.asarray(guesses, dtype=np.uint8)

    lut_in = lut_input_row if vec_type == "row" else lut_input_col
    if vec_type == "row":
        lut_mix_column = np.array(lut_mix_column, dtype=int).T.tolist()

    res = np.empty((plaintext.shape[0], len(guesses), plaintext.shape[1]), dtype='uint8')

    if use_hd:
        new_pt = np.zeros((plaintext.shape[0], 16), dtype='uint8')
        new_pt[:, lut_in[cmpgn][0]] = plaintext[:, lut_mix_column[cmpgn][0]]
        new_pt[:, lut_in[cmpgn][1]] = plaintext[:, lut_mix_column[cmpgn][1]]
        new_pt[:, lut_in[cmpgn][2]] = plaintext[:, lut_mix_column[cmpgn][2]]
        new_pt[:, lut_in[cmpgn][3]] = plaintext[:, lut_mix_column[cmpgn][3]]
    else:
        new_pt = 0

    for i, guess in enumerate(guesses):
        s = scared.aes.sub_bytes(np.bitwise_xor(plaintext, guess))
        # round_gen_2 -> коэффициент 1 (s)
        res[:, i, :] = np.bitwise_xor(new_pt, s)

    return res


def round_gen_3(plaintext, guesses, cmpgn):
    # round_gen_3 моделирует коэффициент 3*... (gal3),
    # то есть вклад "3*v" в MixColumns.

    lut_mix_column = [[3, 12, 9, 6],
                      [7, 0, 13, 10],
                      [11, 4, 14, 1],
                      [15, 8, 5, 2]]

    plaintext = np.asarray(plaintext, dtype=np.uint8)
    guesses   = np.asarray(guesses, dtype=np.uint8)

    lut_in = lut_input_row if vec_type == "row" else lut_input_col
    if vec_type == "row":
        lut_mix_column = np.array(lut_mix_column, dtype=int).T.tolist()

    res = np.empty((plaintext.shape[0], len(guesses), plaintext.shape[1]), dtype='uint8')

    if use_hd:
        new_pt = np.zeros((plaintext.shape[0], 16), dtype='uint8')
        new_pt[:, lut_in[cmpgn][0]] = plaintext[:, lut_mix_column[cmpgn][0]]
        new_pt[:, lut_in[cmpgn][1]] = plaintext[:, lut_mix_column[cmpgn][1]]
        new_pt[:, lut_in[cmpgn][2]] = plaintext[:, lut_mix_column[cmpgn][2]]
        new_pt[:, lut_in[cmpgn][3]] = plaintext[:, lut_mix_column[cmpgn][3]]
    else:
        new_pt = 0

    for i, guess in enumerate(guesses):
        s = scared.aes.sub_bytes(np.bitwise_xor(plaintext, guess))
        # round_gen_3 -> коэффициент 3 (gal3[s])
        res[:, i, :] = np.bitwise_xor(new_pt, gal3[s])

    return res


# ============================================================
# leakage_cmpgns : привязка campaign через замыкание
# ============================================================
# scared ожидает selection_function с сигнатурой (plaintext, guesses).
# Но нам нужно ещё "campaign". Поэтому делаем closure:
#   campaign захватывается внутри bind_campaign,
#   а наружу отдаётся функция с ровно двумя аргументами.

def bind_campaign(gen_func, campaign):
    def _sf(plaintext, guesses):
        return gen_func(plaintext, guesses, campaign)
    return scared.attack_selection_function(_sf)

leakage_cmpgns = []
for campaign in range(4):
    leakage_cmpgns.append([
        bind_campaign(round_gen_0, campaign),
        bind_campaign(round_gen_1, campaign),
        bind_campaign(round_gen_2, campaign),
        bind_campaign(round_gen_3, campaign),
    ])


# ============================================================
# ATTACK LOOP
# ============================================================
# Тут реализуется ровно та математика, о которой мы говорили:
#
# 1) Для каждой кампании мы имеем структуру plaintext:
#    внутри каждого MixColumns столбца 3 байта константы + 1 байт переменный.
#
# 2) Тогда выход вида:
#       d = (коэфф)*v  ⊕  const
#
# 3) Если мы атакуем ПО БИТУ (Monobit(bit)),
#    то XOR с константой в этом бите просто:
#       bit(d) = bit((коэфф)*v) ⊕ bit(const)
#    а это означает "либо тот же бит, либо инвертированный".
#
# 4) Инверсия бита меняет знак корреляции, но не модуль.
#    Поэтому мы берём abs(a.results) — это и есть "выкинули неизвестную константу".
#
# 5) Чтобы усилить сигнал, суммируем |corr| по:
#    - 4 коэффициентам (2,1,1,3)  -> t=0..3
#    - 8 битам                    -> bit=0..7
#    Всего 32 вклада => b += abs(...)
#
# 6) Потом для каждого байта bi берём "самый высокий пик по времени"
#    и выбираем guess, который дал максимальный пик.

n_traces = 400000
trace_slice = slice(800, 900)  # окно по времени (samples), где ожидаешь утечку

# key_guess[bi] будет хранить итоговый guess для каждого байта ключа
key_guess = [None] * 16

%matplotlib notebook
import matplotlib.pyplot as plt
plt.figure()

for campaign in trange(0, 4):
    b = None

    # estraces.read_ths_from_ram:
    #   - берёт waves (N x window)
    #   - приклеивает к ним metadata plaintext (N x 16)
    #   - возвращает объект трасс в формате, который понимает scared
    cw_traces = estraces.read_ths_from_ram(
        np.array(projects[campaign].waves)[:n_traces, trace_slice],
        plaintext=np.array([textin for textin in projects[campaign].textins], dtype='uint8')[:n_traces]
    )

    # t=0..3 -> четыре "точки MixColumns" (коэфф 2/1/1/3)
    for t in trange(4, leave=False):
        # bit=0..7 -> побитная атака, чтобы убрать неизвестную константу через abs(corr)
        for bit in trange(8, leave=False):
            container = scared.Container(cw_traces)

            a = scared.CPAAttack(
                selection_function=leakage_cmpgns[campaign][t],  # round_gen_*(..., campaign)
                model=scared.Monobit(bit),                       # берём 1 бит предсказанного байта
                discriminant=scared.maxabs                       # пиковая |corr| по времени
            )

            a.run(container)

            # ВАЖНО:
            # abs(a.results) == мы берём модуль корреляции,
            # т.е. "если из-за константы знак перевернулся — нам всё равно".
            if b is None:
                b = abs(a.results)
            else:
                b += abs(a.results)

    # --- какие 4 байта ключа принадлежат кампании ---
    # зависит от vec_type (геометрии VarVec)
    if vec_type == "row":
        byte_range = range(campaign, 16, 4)          # [0,4,8,12], [1,5,9,13], ...
    else:
        byte_range = range(4*campaign, 4*campaign+4) # [0..3], [4..7], ...
    # --- /выбор ---

    for bi in byte_range:
        # c: корреляционные следы для данного byte-index bi и всех 256 гипотез
        # форма: (256 guesses, time_samples)
        c = np.nan_to_num(b[:, bi, :])

        # maxes[g] = максимальный пик корреляции (по времени) для гипотезы g
        maxes = np.max(c, axis=1)

        # лучшая и вторая гипотеза
        guess  = np.argsort(maxes)[-1]
        guess2 = np.argsort(maxes)[-2]

        actual = projects[0].keys[0][bi]  # реальный байт ключа (для проверки)
        x = np.argmax(c[actual])         # где по времени у правильного максимальный пик

        # график: зелёный - конкурент, красный - правильный
        if guess != actual:
            plt.plot(c[guess], "g-")
        else:
            plt.plot(c[guess2], "g-")
        plt.plot(c[actual], "r--")
        plt.plot(x, c[actual][x], "ro")

        print(f"[camp={campaign} byte={bi}] Best guess {hex(guess)} (corr={maxes[guess]}), "
              f"next best = {maxes[guess2]}, real = {maxes[actual]}")

        # сохраняем угаданный байт ключа
        key_guess[bi] = int(guess)

plt.show()
print("Final key guess:", key_guess)

---

2) Теперь самое главное: где именно в ЭТОМ коде реализуется “снижение сложности” $2^{32}\to2^{16}\to2^8$

Я объясню прямо по тем местам кода, которые делают этот трюк.

---

Шаг A — “в лоб” было бы $2^{32}$

Если бы в одном столбце MixColumns все 4 входных байта были переменными (зависели от трассы), то чтобы предсказывать, например, $d_0$, надо было бы угадывать:

$$(k_0,k_1,k_2,k_3)\Rightarrow 2^{32}$$

Это НЕ делается в коде вообще.

---

Шаг B — как код добивается “3 константы + 1 переменная” (и почему это даёт $2^{16}$)

Это достигается не в анализе, а в структуре данных кампании projects[campaign] (VarVec-захват).
Смысл VarVec: в каждой кампании набор plaintext устроен так, что в каждом столбце после ShiftRows 3 байта фиксированы, 1 меняется.

Тогда в математике:

• переменный байт:

$$v^{(t)}=SBox(p_v^{(t)}\oplus k_v)$$

• три константных:

$$c_1=SBox(p_{c1}\oplus k_{c1}),\ c_2=\dots,\ c_3=\dots$$

На выходе MixColumns:

$$d_0^{(t)}=2v^{(t)}\oplus 3c_1\oplus c_2\oplus c_3$$

и это сжимается в:

$$d_0^{(t)}=(2v^{(t)})\oplus c_a,\quad c_a=3c_1\oplus c_2\oplus c_3$$

Почему это уменьшает “неизвестность” с 24 бит до 8 бит:
потому что $c_1,c_2,c_3$ стали константами по трассам, а MixColumns линейна ⇒ их вклад тоже стал константой $c_a$.

Если бы ты делал байтовую CPA по $d_0$ целиком (HW байта), тебе надо было бы перебирать:

• $k_v$ (256)
• $c_a$ (256) итого $2^{16}$.

---

Шаг C — как код убирает $c_a$ и даёт $2^8$

Это делается ровно здесь:

python
model=scared.Monobit(bit)
...
b += abs(a.results)

Почему Monobit(bit) — это “битовая атака”

Monobit(bit) означает: из предсказанного байта берём один бит:

$$b^{(t)}=\text{bit}_i(\text{predicted\_byte}^{(t)})$$

Что делает неизвестная константа в одном бите

Если:

$$d^{(t)} = X^{(t)} \oplus c_a$$

то в одном бите:

$$\text{bit}_i(d^{(t)}) = \text{bit}_i(X^{(t)}) \oplus \text{bit}_i(c_a)$$

А $\text{bit}_i(c_a)$ — постоянная (0 или 1):

• если 0 → бит не меняется
• если 1 → бит инвертируется

Почему инверсия бита меняет знак корреляции

Если предсказание было $b$, а стало $1-b$, то:

$$corr(L,1-b)=-corr(L,b)$$

(потому что $1-b=-b+1$, добавление константы не влияет, умножение на −1 меняет знак).

Почему abs(...) убивает неизвестную константу

Потому что:

$$|+ρ| = |-ρ|$$

То есть ты говоришь: “мне всё равно, константа дала + или −, я беру модуль”.

И вот тут случается скачок сложности:

• больше не нужно перебирать $c_a$ (256 вариантов)
• остаётся только $k_v$ (256 вариантов) ⇒ $2^8$

---

Шаг D — почему именно 32 атаки и где они в коде

В тексте было: 4 выхода × 8 бит = 32.

В коде это:

• 4 выхода/коэффициента (2,1,1,3) → цикл for t in range(4) и round_gen_0..3
• 8 бит → цикл for bit in range(8) и Monobit(bit)
• суммирование модулей → b += abs(a.results)

То есть твоя итоговая “оценка гипотезы” по сути:

$$Score(k)=\sum_{t=0}^{3}\sum_{i=0}^{7} \left|corr\left(L,\text{bit}_i(\alpha_t\cdot SBox(p\oplus k)\ \text{(с нужной перестановкой)} )\right)\right|$$

где $\alpha_t \in \{2,1,1,3\}$.

---

3) Что конкретно моделируют round_gen_0..3 (связь с уравнениями MixColumns)

В идеальном (упрощённом) объяснении для одного столбца:

• $d_0 = 2v \oplus c_a$
• $d_1 = 1v \oplus c_b$
• $d_2 = 1v \oplus c_c$
• $d_3 = 3v \oplus c_d$

В твоём коде это соответствует:

• round_gen_0: генерит gal2[s] ⇒ это “$2\cdot v$” часть
• round_gen_1: генерит s ⇒ это “$1\cdot v$” часть (первая позиция)
• round_gen_2: генерит s ⇒ это “$1\cdot v$” часть (вторая позиция)
• round_gen_3: генерит gal3[s] ⇒ это “$3\cdot v$” часть

А разные lut_mix_column в каждой функции нужны, чтобы правильно сопоставить байты из plaintext с теми байтами состояния, которые реально оказываются “v” в нужной строке/столбце после ShiftRows, и чтобы HD-пара (old,new) была выровнена.

---

4) Почему ты потом выбираешь guess отдельно для каждого byte index bi

Это место:

python
c = b[:, bi, :]
maxes = np.max(c, axis=1)
guess = np.argsort(maxes)[-1]

Тут важно понимать форму данных:

• b[g, bi, t] (интуитивно) — “насколько хорошо гипотеза g объясняет утечку байта bi во времени t”
• ты берёшь максимум по времени → самый сильный пик корреляции для гипотезы g
• выбираешь g с самым сильным пиком → это и есть угаданный key[bi]

Это работает, потому что в selection_function ты одновременно посчитал предсказания для всех 16 позиций, а потом “разрезал” по bi.

---

Если хочешь, следующим шагом я могу взять один конкретный bi (например bi=0) и прямо расписать:

• какой именно байт plaintext становится $p_v^{(t)}$,
• где в round_gen_* он проходит SBox(p⊕guess),
• где умножается на 2 или 3 (gal2/gal3),
• где константа превращается в “переворот знака корреляции” и исчезает из-за abs.

Но даже без этого — всё ключевое про “почему сложность падает” в твоём коде находится ровно в паре:
Monobit(bit) + abs(a.results), и усиление через суммирование 32 модулей.