Motivul $R=n-1$ (sau $R=1,$ aplicat mapării de decriptare) este utilizat este următorul. Toate aproximările diferențiale individuale, precum și traseul diferențial care este ales peste $R$ randamentul rundelor statistic relatii.
Cu toate acestea, acum se poate folosi ieșirea textului cifrat, rula Sbox-urile în ultima rundă în sens invers și condiționat de fiecare presupunere pentru tastele rotunde XOR introduse în intrările de $n^{th}$ Sbox-urile rotunde au presupuneri non-aleatoare și exacte pentru ieșirile Sbox-urilor vizate din rundă $n-1.$ Aceasta înseamnă că se poate desfășura un experiment statistic de încredere și probabilitatea diferențială empirică a diferenței de intrare și ieșire aleasă poate fi calculată în mod fiabil.
În această etapă, având în vedere suficiente perechi P/C, estimarea cheie care are ca rezultat cea mai mare probabilitate empirică este declarată estimarea cheie cea mai probabilă.
Vezi răspunsul meu la următoarea întrebare pentru mai multe detalii concrete.
Tutorial de criptoanaliza diferențială al lui Howard M. Heys
Editați | ×: Mulțumesc lui @fractalice pentru că a prins ultima parte neglijentă a răspunsului meu. Într-adevăr, complexitatea computațională de a parcurge presupunerile cheie ale Sbox-urilor „active” în ultima rundă este semnificativă. Deci probabilitatea diferențială a $\epsilon$ al $n-1$ caracteristica diferențială înseamnă că trebuie să utilizați aproximativ $c/\epsilon$ Perechile P/C pentru ca caracteristica să fie empiric cea dominantă, iar dacă există $k$ Sbox-urile active în ultima rundă va trebui să le încercați 2$^{4k}$ (deoarece Sbox-urile au o lățime de 4 biți) chei ghicite în timp ce încercați să decideți care chei ghicite sunt cele mai probabile.