我们怎么知道一个单一的微分/线性轨迹支配其他的？

Question

我读过AES抵抗差分密码分析的证明。在证明中，作者证明了在8轮以上，没有一条道具比高于2^{-300}的单差航迹。我理解这部分，但这并不能证明没有比2^{1-n} = 2^{-127}更高的道具比，因为我们可以使用许多不同的路径得到相同的微分。我在乔恩·戴门的论文中读到过，在一个构造良好的密码中，一条小径应该占主导地位。AES是否证明了，实际上，没有不同的差动轨迹结合在一起，从而使差速器的支撑比大大提高？如果是，他们如何证明这一点？如果不是，为什么AES被认为具有抵抗线性和差分密码分析的能力？

链接：

证明- https://csrc.nist.gov/csrc/media/projects/cryptographic-standards-and-guidelines/documents/aes-development/rijndael-ammended.pdf.

论文-- https://cs.ru.nl/~joan/papers/JDA_论文_1995.pdf

Answer 1

简单地说，我们没有。有几个块密码(最著名的是现在时)，多个线性路径结合在一起形成一个更强的区分器。尾迹的集合被称为线性船体。该概念已经扩展到差分线性密码分析，但我没有任何参考“差异船体”。在轻量级设计中，这些多重跟踪效果似乎更加明显。

分析方法似乎是假设，除非可以证明船体是有贡献的，否则它们不会有很大的贡献。如果使用的是“抵抗”一词，而不是“免疫”，那么这个假设就不会觉得太不合理了。