Cum să găsiți traseul optim în criptoanaliza liniară

Citesc și implementez asta tutorial, autorul explică totul destul de clar, singurul lucru care îmi lipsește este modul în care decide el ce traseu să folosească (pag. 12). Înțeleg că ar trebui să preferați traseele cu cea mai mică cantitate de S-Box activ și să maximizați părtinirea traseului (de fapt, găsirea traseului optim pare a fi cel mai important pas atunci când încercați să aplicați criptoanaliza liniară unui algoritm de criptare simetric) .

Mi se pare un fel de problemă de programare dinamică, dar mă întreb dacă există un algoritm general care să rezolve problema găsirii traseului optim (sau cel puțin, o serie de trasee candidate).

Metoda lui Matsui este cea clasică, dar în prezent tendința este către căutarea bazată pe MILP/SAT/SMT. Corectitudinea traseului și legătura acesteia cu probabilitatea de tranziție este codificată în sistem și apoi este optimizată pentru a minimiza probabilitatea totală (pentru căutarea binară SAT/SMT poate fi folosită, pentru MILP optimizarea este nativă).

Câteva exemple (majoritatea cercetărilor este totuși pentru atacuri diferențiate, dar de obicei se traduce prin atacuri liniare):

• Accelerarea căutării caracteristicilor diferențiale și liniare cu metoda SAT
• Algoritmi de căutare automată bazați pe MILP pentru trasee diferențiale și liniare pentru Speck
• Îmbunătățirea algoritmului de evaluare a securității bazat pe MILP împotriva criptoanalizei diferențiale/liniare utilizând o abordare Divide-and-Conquer
• Revizuirea atacurilor diferențiale cu chei legate de AES cu programare cu constrângeri