# QC-MDPC reaction attack (GJS) — zadanie

## Wprowadzenie do QC-MDPC
**QC-MDPC** (Quasi-Cyclic Moderate Density Parity Check) to kryptosystem post-kwantowy oparty na kodach korekcji błędów.
Klucz prywatny to rzadki wektor binarny **h₀** o wadze Hamminga **w** (liczbie jedynek) i długości **N**.

### Syndrom i dekodowanie
Gdy otrzymujemy zaszyfrowaną wiadomość z błędem **e**, obliczamy **syndrom**:

$$s = h_0 \\circledast e \\pmod{2}$$

gdzie $\\circledast$ oznacza **splot cykliczny** (convolution). Dekoder próbuje znaleźć **e** na podstawie **s**.

### Porażki dekodowania (Decoding Failures)
Algorytm **Bit-Flipping (BF)** to iteracyjny dekoder:
1. Dla każdego bitu liczy **unsat** — liczbę "niezadowolonych" równań parzystości.
2. Jeśli unsat przekracza próg (threshold), bit jest odwracany.
3. Jeśli po max_iter iteracjach syndrom ≠ 0, następuje **porażka dekodowania**.

**Porażka** = dekoder nie zdołał skorygować błędu i utknął w lokalnym minimum.

### Odległość cykliczna
Dla wektora z jedynkami na pozycjach $i, j$, **odległość cykliczna** to:

$$d_{cyclic}(i,j) = \\min(|i-j|, N - |i-j|)$$

Klucz **h₀** ma charakterystyczne **widmo odległości** — zbiór wszystkich $d_{cyclic}$ między parami jedynek.

### Atak GJS (Guo-Johansson-Stankovski)
Obserwacja: wektory błędów **e**, które powodują porażki dekodowania, często mają odległości zbliżone do odległości w kluczu **h₀**.

**Algorytm ataku:**
1. Generuj losowe wektory błędu **e** o wadze **t**.
2. Próbuj je zdekodować.
3. Przy porażkach: zlicz odległości cykliczne z **e**.
4. Odległości pojawiające się częściej to kandydaci na odległości z klucza!

### Co powinno wyjść po uzupełnieniu:
- dekoder BF czasem zawodzi (kilka–kilkanaście procent porażek),
- porażki dostarczają odległości cyklicznych,
- na wykresie (log-scale) czerwone odległości z klucza lekko przebijają niebieski szum.

**Wypełnij trzy zadania niżej. Parametry N, w, t zostaw bez zmian, żeby porównać wynik.**

In [None]:
import numpy as np

np.random.seed(0)

# Parametry systemu QC-MDPC (nie zmieniaj, żeby porównać wyniki)
N = 997  # długość bloku cyklicznego
w = 15   # waga Hamminga klucza
t = 15   # waga błędu


def get_cyclic_distances(vector: np.ndarray, N: int):
    """Zwraca listę odległości cyklicznych między jedynkami w wektorze binarnym."""
    ones = np.flatnonzero(vector)
    distances = []
    for i in range(len(ones)):
        for j in range(i + 1, len(ones)):
            diff = abs(int(ones[i]) - int(ones[j]))
,
,

## Zadanie 1/3: klucz i dekoder BF
Uzupełnij funkcje generowania klucza i prosty algorytm Bit-Flipping.
- `generate_key(N, w)`: losowy wektor binarny h0 o długości N i wadze w.
- `syndrome_decoding(h0, error_vector, N, max_iter=8)`:
  - policz syndrom s = h0 * e (splot cykliczny),
  - w pętli licz niezadowolone równania parzystości per bit,
  - threshold = max_unsat - 1, flip bity z unsat > threshold,
  - syndrom=0 → sukces; po max_iter nadal ≠0 → porażka.

In [None]:
def generate_key(N: int, w: int) -> np.ndarray:
    """TODO: wygeneruj losowy wektor binarny o zadanej wadze"""
    # TODO: utwórz wektor zerowy, wylosuj pozycje z jedynkami, zwróć wektor
    raise NotImplementedError


def syndrome_decoding(h0: np.ndarray, error_vector: np.ndarray, N: int, max_iter: int = 8):
    """TODO: zaimplementuj prosty algorytm Bit-Flipping"""
    # TODO: funkcja compute_syndrome(h, e) -> syndrom (mod 2)
    # TODO: skopiuj error_vector do 'error' i policz początkowy syndrom
    # TODO: jeśli syndrom jest zerowy → zwróć True
    # TODO: pętla max_iter: policz unsat (liczba niezadowolonych równań na bit),
    #       wyznacz threshold = max_unsat - 1, odwróć bity z unsat > threshold,
    #       przelicz syndrom; jeśli 0 → True; jeśli brak flipów → przerwij
    # TODO: zwróć informację, czy syndrom jest zerowy po pętli
    raise NotImplementedError


secret_key = generate_key(N, w)

## Zadanie 2/3: zbieranie porażek dekodowania (atak GJS)
Uzupełnij pętlę prób tak, by przy porażkach dekodowania gromadzić odległości cykliczne błędnych wektorów.
1. Wylosuj wektor błędu o wadze `t`.
2. Uruchom dekoder.
3. Jeśli dekodowanie się nie powiedzie: zlicz odległości do `spectrum_candidates`.

In [None]:
num_trials = 100000

spectrum_candidates = {}
failures = 0

for _ in range(num_trials):
    # TODO: wylosuj error_vector o wadze t
    # TODO: uruchom syndrome_decoding; jeśli porażka:
    #   - zwiększ licznik failures
    #   - policz dists = get_cyclic_distances(error_vector, N)
    #   - zlicz je w spectrum_candidates
    pass

failure_rate = failures / num_trials
print(f"Decoding failures: {failures}/{num_trials} ({failure_rate:.4f})")

## Zadanie 3/3: wizualizacja i analiza spike'ów
Przygotuj dwa wykresy (linear i log-scale) oraz wypisz zestawienie odległości z klucza.
- oblicz Ground Truth: `true_distances`, `true_distance_set`
- zbuduj `x_vals`, `y_vals` ze `spectrum_candidates`
- kolory: czerwony dla odległości z klucza, stalowy dla pozostałych
- policz `total_observations` i próg (np. 1%)
- narysuj wykresy i wypisz, które odległości klucza przebijają próg

In [None]:
import matplotlib.pyplot as plt

# TODO: oblicz true_distances i true_distance_set
# TODO: przygotuj x_vals, y_vals z spectrum_candidates
# TODO: wybierz kolory: red jeśli dist w true_distance_set, inaczej steelblue

# TODO: policz total_observations i threshold (np. 1%)
# TODO: narysuj wykres linear i log-scale
# TODO: wypisz analizę spike'ów dla odległości klucza