我們如何知道單個差分/線性軌跡占主導地位？

我已經閱讀了 AES 抵抗差分密碼分析的證明。在證明中，作者表明不存在支撐比高於 $ 2^{-300} $ 超過8輪。我理解那部分，但它並不能證明不存在支撐比高於 $ 2^{1-n} = 2^{-127} $ 因為我們可以使用許多不同的路徑最終得到相同的差異。我在 Jon Daemen 的論文中讀到，在構造良好的密碼中，一條線索應該支配所有其他線索。AES 是否證明，事實上，沒有不同的差分軌跡結合起來可以提供顯著更高的差分支撐比？如果是，他們如何證明這一點？如果不是，為什麼假設 AES 被證明可以抵抗線性和差分密碼分析？

連結：

證明 - https://csrc.nist.gov/csrc/media/projects/cryptographic-standards-and-guidelines/documents/aes-development/rijndael-ammended.pdf。

論文- https://cs.ru.nl/~joan/papers/JDA_Thesis_1995.pdf

簡短的回答是我們沒有。有幾種分組密碼（最著名的是PRESENT），其中多個線性軌跡組合形成更強的區分器。軌蹟的集合稱為線性外殼。該概念已擴展到差分線性密碼分析，但我對“差分外殼”沒有任何參考。這些多重尾跡效應在輕量化設計中似乎更為明顯。

分析方法似乎是假設船體沒有顯著貢獻，除非它們可以被證明這樣做。如果使用術語“抵抗”而不是“免疫”，那麼這個假設並不會讓人覺得太不合理。

引用自：https://crypto.stackexchange.com/questions/89011