為什麼沒有理想的 S-Box？

我讀到關於線性密碼分析和關於沒有任何理想 S-Box 的 S-Box（理想的 S-Box 是一個隨機的 S-Box，換句話說，S-Box 輸入和輸出位的偏差為零）然後我讀到了在這篇文章中實現 S-Box並了解 S-Box 是通過查找表實現的，然後閱讀這篇關於 S-Box 的非線性和隨機性方面的文章（e-sushi 的回答）：

而且您可以相信，通過使用您目前的標準來隨機創建一個好的 s-box 的機會非常小……非常非常小！

但我不明白為什麼沒有任何隨機（理想）S-Box？為什麼查找表不能實現隨機 S-box？它的限制（限制）是什麼？

重要的是要理解，儘管一個非常大的隨機函式只會以非常低的機率出現線性偏差，但對於小的隨機函式來說，情況並非如此。如果你選擇一個小的隨機函式，那麼你不太可能得到一個適合分組密碼結構的函式。此外，僅僅建構一個線性偏差低的 S-box 是不夠的；還必須考慮差分密碼分析等等。

說了以上所有，這確實提出了一個有趣的問題。我們甚至可以定義一個理想的 S-box 嗎？這並不一定意味著我們可以找到一個；例如，AES S-box 具有 8 位輸入和 8 位輸出。這意味著有 $ 2^{128} $ 這種類型的可能功能，並且無法列舉。儘管如此，就我們最好的密碼分析知識而言，我很想知道是否存在“理想”結構。

引用自：https://crypto.stackexchange.com/questions/33420