### Outubro, 8, 2024

### TP2 - Grupo 20
Afonso Martins Campos Fernandes - A102940

Luís Felipe Pinheiro Silva - A105530

### Introdução:

   O relatório apresentado documenta a implementação de uma FSM(Finite State Machine) com o objetivo em descrever o gerador de chave de cifra A5/1, feita no Z3. Cada exercicio realizado visa em modelar diferentes propriedades deste gerador, que verifica a ocorrência de padrões e comportamentos especificos. 

##### Exercicio 1:
    
   ##### Considere a descrição da cifra A5/1 que consta no documento +Lógica Computacional: a Cifra A5/1 Informação complementar pode ser obtida no artigo da Wikipedia. 

##### a) Definir e codificar, em z3 e usando o tipo BitVec para modelar a informação, uma FSM que descreva o gerador.

In [17]:
from z3 import *
import random
from random import getrandbits

# Definir os LFSRs como BitVecs com os tamanhos adequados
LFSR1 = BitVec('LFSR1', 19)
LFSR2 = BitVec('LFSR2', 22)
LFSR3 = BitVec('LFSR3', 23)

# Funções de atualização para cada LFSR
def lfsr1_seguinte(LFSR1):
    f = Extract(18, 18, LFSR1) ^ Extract(17, 17, LFSR1) ^ Extract(16, 16, LFSR1) ^ Extract(13, 13, LFSR1)
    return Concat(f, Extract(18, 1, LFSR1))

def lfsr2_seguinte(LFSR2):
    f = Extract(21, 21, LFSR2) ^ Extract(20, 20, LFSR2)
    return Concat(f, Extract(21, 1, LFSR2))

def lfsr3_seguinte(LFSR3):
    f = Extract(22, 22, LFSR3) ^ Extract(21, 21, LFSR3) ^ Extract(20, 20, LFSR3) ^ Extract(7, 7, LFSR3)
    return Concat(f, Extract(22, 1, LFSR3))

# Bits de clock para cada LFSR
cBit1 = Extract(8, 8, LFSR1)
cBit2 = Extract(10, 10, LFSR2)
cBit3 = Extract(10, 10, LFSR3)

# Função de majoritY BIT para os bits de clock
def majority(b1, b2, b3):
    return If(b1 + b2 + b3 > 1, BitVecVal(1, 1), BitVecVal(0, 1))

# Calcular o bit majoritário
majority_bit = majority(cBit1, cBit2, cBit3)

# Atualizar os LFSRs com base no bit de clock majoritário
next_LFSR1 = If(cBit1 == majority_bit, lfsr1_seguinte(LFSR1), LFSR1)
next_LFSR2 = If(cBit2 == majority_bit, lfsr2_seguinte(LFSR2), LFSR2)
next_LFSR3 = If(cBit3 == majority_bit, lfsr3_seguinte(LFSR3), LFSR3)

# Solver para testar a transição
solver = Solver()
solver.add(LFSR1 == BitVecVal(getrandbits(19), 19))
solver.add(LFSR2 == BitVecVal(getrandbits(22), 22))
solver.add(LFSR3 == BitVecVal(getrandbits(23), 23))

# Verificação de estados possíveis
if solver.check() == sat:
    modelo = solver.model()
    print("Estado inicial:")
    print("LFSR1:", modelo[LFSR1])
    print("LFSR2:", modelo[LFSR2])
    print("LFSR3:", modelo[LFSR3])
    
    # Simulação de uma transição
    print("\nPróximo Estado:")
    print("Next_LFSR1:", modelo.evaluate(next_LFSR1))
    print("Next_LFSR2:", modelo.evaluate(next_LFSR2))
    print("Next_LFSR3:", modelo.evaluate(next_LFSR3))
else:
    print("Nenhuma solução foi encontrada.")


Estado inicial:
LFSR1: 321264
LFSR2: 1996031
LFSR3: 4099053

Próximo Estado:
Next_LFSR1: 160632
Next_LFSR2: 1996031
Next_LFSR3: 6243830


Nesta alínea implementamos uma FSM em Z3 utilizando o BitVec para modelar três LFSR's(Linear Feedback Shift Registers).

Foram definidos exatamente três LFSR's com o tamanho de 19,22 e 23 bits. Cada uma das LFSR's utiliza uma função de atualização com um polinómio em específico, e a FSM utiliza um bit majoritário ou "majority bit" que é o valor mais comum(1 ou 0) entre 3 ou mais bits, e o que estiver em maioria decide qual das LFSR's deve avançar.  

Funções Utilizadas:

1. lfsr1_seguinte(), lfsr2_seguinte() e lfsr3_seguinte():
- Estas três funções são chamadas funções de atualização com o seu polinómio caracteristico que define o estado seguinte com base numa operação XOR(^) aplicada a bits específicos do estado atual;
- São retornadas um novo estado para o LFSR, que junta o resultado do polinómio (um único bit) com os bits restantes do LFSR, realizando assim  o deslocamento.

2. majority():
- Faz os calculos para o "majority bit" a partir dos bits de clock(cBit1, cBit2 e cBit3) dos três LFSR's;
- Faz a soma dos três bits clocks(0 ou 1) caso a soma desses bits for superior a 1(ou seja, dois ou mais bits são 1), esta devolve 1 como "majority bit", caso contrário devolve 0.
- O "majority bit" é utilizado na decisão de quais LFSR's avançam para o próximo passo. 

3. If() de Z3:
- A função If é utilizada para condicionalmente atualizar cada LFSR com base no bit majoritário. Caso o bit de clock de um LFSR coincida com o bit majoritário, o LFSR é atualizado para o próximo estado; caso contrário, permanece inalterado.
- Esta função ajuda na construção lógica condicional que é precisa para a máquina FSM funcionar.


### b) Considere as seguintes propriedades de erro:
### i) Ocorrência de um "burst" 0^t(t-zeros) que ocorre em 2^t passos ou menos.
Tente codificar estas propriedade e cerificar se são acessíveis a partir de um estado inicial aleatoriamente gerado  

In [26]:

# Parâmetros da propriedade de erro
t = 3  # Número de zeros consecutivos (tamanho do "burst")
passos = 2 ** t  # Número máximo de passos permitidos para encontrar o "burst"

# Configurar o solver
solver = Solver()

# Inicializar os LFSRs com estados aleatórios
curLFSR1 = BitVecVal(getrandbits(19), 19)
curLFSR2 = BitVecVal(getrandbits(22), 22)
curLFSR3 = BitVecVal(getrandbits(23), 23)

countZeros = BitVecVal(0, 32)  # Inicializar o contador de zeros consecutivos
outputs = []

# Loop para simular os passos e procurar por um "burst" de zeros
for passo in range(passos):
    # Calcular o bit majoritário
    majority_bit = majority(Extract(8, 8, curLFSR1), Extract(10, 10, curLFSR2), Extract(10, 10, curLFSR3))
    
    # Atualizar os LFSRs com base no bit de clock majoritário
    next_LFSR1 = If(Extract(8, 8, curLFSR1) == majority_bit, lfsr1_seguinte(curLFSR1), curLFSR1)
    next_LFSR2 = If(Extract(10, 10, curLFSR2) == majority_bit, lfsr2_seguinte(curLFSR2), curLFSR2)
    next_LFSR3 = If(Extract(10, 10, curLFSR3) == majority_bit, lfsr3_seguinte(curLFSR3), curLFSR3)
    
    # Atualizar o estado atual dos LFSRs
    curLFSR1, curLFSR2, curLFSR3 = next_LFSR1, next_LFSR2, next_LFSR3
    
    # Extrair o bit menos significativo de cada LFSR e calcular o bit de saída
    output_bit = Extract(0, 0, curLFSR1) ^ Extract(0, 0, curLFSR2) ^ Extract(0, 0, curLFSR3)
    outputs.append(output_bit)
    
    # Verificar se o bit de saída é zero e atualizar o contador de zeros
    isZero = output_bit == BitVecVal(0, 1)
    countZeros = If(isZero, countZeros + 1, BitVecVal(0, 32))  # Reinicia o contador se não for zero

    # Condição de "burst" de zeros: `t` zeros consecutivos
    solver.add(countZeros <= t)

# Restrição para garantir pelo menos um bit zero e um bit um no output
solver.add(Or([output == BitVecVal(0, 1) for output in outputs]))
solver.add(Or([output == BitVecVal(1, 1) for output in outputs]))

# Verificar se o "burst" de zeros é atingível
if solver.check() == sat:
    print("Foi encontrado um burst de zeros dentro do limite.")
else:
    print("Não foi encontrado nenhum burst de zeros dentro do limite.")


Foi encontrado um burst de zeros dentro do limite.


O objétivo desta alínea é verificar se existe a ocorrência de uma sequência de zeros consecutivos(ou seja, um "burst") de com o comprimento "t = 3" com o número máximo de passos "passos = 2 ** t".          
Esta configuração ajuda a identificar quando um "burst" de zeros sequenciais ocorre dentro do limite definido. As condições a serem satisfeitas para o "burst" de zeros, são:

### 1) Contagem de zeros consecutivos:

- A cada passo, é verificado se o output é zero. Se for esse o caso, o contador é incrementado;
- Caso o output seja 1, o contador de zeros consecutivos é reniciado, pois é necessário de uma sequência contínua de zeros para satisfazer a condição do "burst";

### 2) Condicional de "burst" completo:

- Quando o contador de zeros consecutivos atinge o valor de "t", é adicionada uma restrição para o "solver" indicar que condição foi devidamente satisfeita;
- A condição final para que o "solver" devolva uma solução que seja satisfaça a condição, que é a sequência de "t-zeros" que seja encontrada dentro dos 2^t passos permitidos.

### 3) Solver e verificação:

- O solver verifica todas as condições e devolve sat(que significa satisfatório) se a for encontrada uma solução no intrevalo é devolvida uma mensagem a dizer que foi encontrado uma solução para o intrevalo definido , caso não seja encontrada uma solução dentro do intrevalo, é devolvida uma mensagem a dizer que nao existe soluções para tal intrevalo.



### ii) Ocorrência de um "burst" de tamanho t que repete um "burst" anterior no mesmo output em 2^(t/2) passos ou menos.
Tente codificar estas propriedade e cerificar se são acessíveis a partir de um estado inicial aleatoriamente gerado  

In [28]:
from z3 import *
from random import getrandbits

# Definir os parâmetros da propriedade de erro
t = 3  # Tamanho do "burst"
limite_passos = 2 ** (t // 2)  # Número máximo de passos permitidos entre repetições do "burst"

# Configurar o solver
solver = Solver()

# Inicializar os LFSRs com estados aleatórios
curLFSR1 = BitVecVal(getrandbits(19), 19)
curLFSR2 = BitVecVal(getrandbits(22), 22)
curLFSR3 = BitVecVal(getrandbits(23), 23)

output_history = []
found_repetition = False

# Loop para simular os passos e procurar repetição de um "burst"
for passo in range(limite_passos):
    # Calcular o bit majoritário
    clockBit1 = Extract(8, 8, curLFSR1)
    clockBit2 = Extract(10, 10, curLFSR2)
    clockBit3 = Extract(10, 10, curLFSR3)
    majority_bit = majority(clockBit1, clockBit2, clockBit3)
    
    # Atualizar os LFSRs com base no bit de clock majoritário
    next_LFSR1 = If(clockBit1 == majority_bit, lfsr1_seguinte(curLFSR1), curLFSR1)
    next_LFSR2 = If(clockBit2 == majority_bit, lfsr2_seguinte(curLFSR2), curLFSR2)
    next_LFSR3 = If(clockBit3 == majority_bit, lfsr3_seguinte(curLFSR3), curLFSR3)
    
    # Atualizar o estado atual dos LFSRs
    curLFSR1, curLFSR2, curLFSR3 = next_LFSR1, next_LFSR2, next_LFSR3
    
    # Extrair o bit menos significativo para formar a saída
    output_bit = Extract(0, 0, curLFSR1) ^ Extract(0, 0, curLFSR2) ^ Extract(0, 0, curLFSR3)
    
    # Adicionar o bit ao histórico de saída
    output_history.append(output_bit)
    
    # Verificar se uma sequência de comprimento `t` se repete no histórico
    if len(output_history) >= t * 2:
        burst_sequence = output_history[-t:]  # Últimos t bits
        for i in range(len(output_history) - t * 2 + 1):
            if burst_sequence == output_history[i:i + t]:
                # Encontramos uma repetição do burst
                found_repetition = True
                solver.add(output_bit == burst_sequence[0])  # Exemplo de condição de restrição
                break
    if found_repetition:
        break

# Verificar se o solver encontrou uma solução para a repetição
if solver.check() == sat:
    print("Repetição de burst encontrada dentro do limite de passos.")
else:
    print("Não foi encontrada nenhuma repetição de burst dentro do limite de passos.")


Repetição de burst encontrada dentro do limite de passos.


Esta resolução implementa uma verificação da propriedade de erro na cifra A5/1, mais especificamente buscando a ocorrência de um "burst" de tamanho "t" que é repetido em um numero de passos igual a 2^(t/2). 

Componentes e funcionamento: 
1. Inicializção:
- Os três LFSR's são inicializados com valores aleaórios;
- Um solver Z3 é definido para verificar se as condições são satisfeitas;

2. Simulação: 
- O código faz uma simulação do funcionamento da cifra A5/1 com o número máximo de passos definido;
- Em cada passo:
    - é calculado o "majority bit";
    - os lfsr's são utilizados com o mecanismo de clock;
    - um bit de saída é gerado e é adicionado ao "output_history"

3. Verificações:
- Depois de acumular bits suficientes de saída, o código verifica se uma sequência de 3 bits(t) se repete;
- Caso seja encontrado a restrição é adicionada ao solver;

4. Resultado: 
- O solver Z3 verifica se as condições são satisfeitas(sat);
- Caso seja satisfeita, é indicado que uma repetição de "burst" foi encontrado. 

### Conclusão:

Este relatório documenta a modelação e verificação do gerador da cifra A5/1 e das propriedades de erro solicitadas. Através de uma abordagem com o solver Z3, foi possível observar que o comportamento da FSM depende fortemente dos estados iniciais dos LFSRs. As propriedades de erro foram verificadas de maneira eficiente, revelando variações conforme o estado inicial.