47、ARX操作的加法差分概率计算方法解析

ARX操作的加法差分概率计算方法解析

在密码学领域，ARX（Addition, Rotation, XOR）操作的加法差分概率（adpARX）的准确计算至关重要。本文将深入探讨adpARX的计算方法，分析传统计算方式的不足，并介绍一种更为精确的计算方法。

1. 传统计算方法的问题

传统上，人们尝试通过旋转和异或操作概率的乘积来估计adpARX，即公式 (20)。然而，这种方法假设旋转操作的输入和异或操作的输入是相互独立的，但实际情况并非如此。

以一个具体例子来说明，设 (n = 4)，(r = 1)，(\Delta\gamma = 1000_2)，(\Delta\lambda = 0000_2)，(\Delta\eta = 0001_2)。旋转后有两种可能的输出差分 (\Delta\rho_0 = 0001_2) 和 (\Delta\rho_2 = 1111_2)，每种的概率为 (2^{-1})。它们通过异或操作的概率均为 (2^{-1.54})，则总概率 (Pro_{xor}) 为：
[
Pro_{xor} = adp_{\ll}(1000_2 \xrightarrow{1} 0001_2) \cdot adp_{\oplus}(0001_2, 0000_2 \to 0001_2) + adp_{\ll}(1000_2 \xrightarrow{1} 1111_2) \cdot adp_{\oplus}(1111_2, 0000_2 \to 0001_2) = 2^{-1} \cdot 2^{-1.54} + 2^{-1} \cdot 2^{-1.54} = 2^{-1.54}
]
但实际概率 (P_{exper} = 2^{-1})，高