Hârtia Ruperea criptosistemelor simetrice folosind căutarea perioadei cuantice arată cum să spargeți Cifrul Even-Mansour folosind algoritmul lui Simon. Even-Mansour folosește două chei $k_1, k_2$ și o permutare publică aleatorie $P$ pentru a cripta un mesaj $x$:
$$E_{k_1, k_2}(x) = P(x \oplus k_1) \oplus k_2$$
Într-un scenariu cuantic de text clar, putem folosi determinarea perioadei cuantice (algoritmul lui Simon), pentru a găsi perioada $k_1$ in urmatoarea functie:
$$f(x) = P(x \oplus k_1) \oplus k_2 \oplus P(x)$$
Clar, $f(x) = f(x \oplus k_1)$
Până acum pot urmări. Lucrarea susține apoi că dacă ar mai fi o perioadă $t \notin \{0,k_1\}$ astfel încât
$$Pr[f(x) = f(x \oplus t)] \geq \frac{1}{2}$$
Atunci ar exista o diferenţială de ordin superior mai mare pentru P, pentru că atunci ar susţine că:
$$Pr[P(x) \oplus P(x \oplus k_1) \oplus P(x \oplus t) \oplus P(x \oplus t \oplus k_1)] \geq \frac{1}{2}$ $
Nu-mi este clar de ce. Existența unei alte perioade nu ar implica doar că:
$$P(x \oplus k_1) \oplus P(x) = P(x \oplus k_1 \oplus k_1) \oplus P(x \oplus k_1) = P(x \oplus t \oplus k_1) \oplus P( x \oplus t) = P(x \oplus t \oplus k_1 \oplus k_1) \oplus P(x \oplus t \oplus k_1)$$
Cum poate fi urmărită diferența de ordin superior din aceasta?
