немного торможу....т.е. получается, что то, что стоит в iv[0] - первый байт вектора инизиализации - это и будет номер вычисляемого байта ключа...(например, 3,2,1(iv),4,7,8,2,... - вычисляется 3 байт, т.е. "4" )...ок, мы собрали все векторы инициализации для всех байтов ключей, а потом прогоняем в обратном порядке KSA и PRGA ... а как в обратном порядке...мы ж не знаем эти S[i]... ( s -блоки ) или просто заполняем их S[i]=i.

Прошу прощения за назойливость....
интересно предположение  о том, что после 3 тактов( для первого байта), s[i] не менялись...вот это предположение я и не могу понять(( ...
ок, например (из статьи Practical Exploitation of RC4 Weaknesses in WEP Environments)
B  = 0            
IV = B + 3, f, 8
SK = 1, 2, 3, 4, 5
 K  = IV . SK
  KSA
     0 1 2 3 4 5 6 7 8 9 a b c d e f                  
                                         i = 0, j = 0 + 0 + 3 = 3
                                         i = 1, j = 3 + 1 + f = 3
                                             i = 2, j = 3 + 2 + 8 = d
                                                       i = 3, j = d + 1 + 1 = f
если все s[i] не менялись, то после ksa получим
3, 0, d, f, 4, 5, 6, 7, 8, 9, a, b, c, 2, e, 1
и в prga
i = 1, j = 0 + 0 = 0, z = S[0 + 3] = f
отсюда SK[0] = f - d - 1 = 1 все верно...
а дальше что?  мы ж только предположили, что все s[i] потом не менялись...или просто вычисляем след байт ключа...а потом собрав ключ ( предполагая, что он верный), пытаемся расшифровать сообщение и проверить его на корректность. А если ключ не верный, то делаем аналогично, но с другими IV . Так получается?
И еще вопросик. Есть вроде усовершенствованная FMS  атака ... там анализируется структура слабых IV  как я понял.. А нельзя буквально в двух словах о ней( ее реализовывать я не буду, а вот смоделировать просто FMS атаку  мне надо)

большое спасибо....
почти разобрался..
а что за атаки Korek? можно по ним какую нить документацию?)
мне программки,где это реализовано, не нужны...мне для курсовой надо...т.е. в самой сути надо разобраться...