S-Box 有哪些設計注意事項？

到目前為止，我對密碼學的研究非常詳細，但是，一個尚未向我解釋的領域是 S-Box 的典型設計方式。通常，S-box 由算法的開發人員“按原樣”提供，但我正在尋找有關密碼學家在設計 S-box 時評估哪些類型的考慮因素的資訊。查找表中的數字是隨機選擇的嗎？它們是數學生成的嗎？如果是這樣，使用了哪些類型的數學，為什麼？在您的解釋中隨意選擇一兩個範例密碼。

主要考慮是確保沒有強微分或仿射屬性。

隨機 S-Box 在這方面實際上還不錯，儘管不一定是最佳的。

然而，大多數人不會相信“隨機”的 S-box，而是更喜歡 Nothing-Up-My-Sleeve 的選擇。因為擔心設計者可能巧妙地選擇了這些值來啟用一些未知的攻擊。我們想要一些合理的解釋來解釋為什麼選擇特定值。

AES S-box 就是這樣，它們是根據一個簡單的數學公式選擇的，但可以證明對差分和線性密碼分析具有相當的彈性。

引用自：https://crypto.stackexchange.com/questions/61417