Понимание нелинейности в Salsa20 на различных кольцах

В своем дизайне Salsa20 Бернштейн пишет, чтобы обеспечить выбранную им нелинейность.

32-битное сложение (нарушение линейности $Z/2$), 32-битный xor (нарушение линейности над $Z/2^32) и 32-битное вращение с постоянным расстоянием (распространение изменений от старших битов к младшим битам).

Можете ли вы помочь мне понять это? Линейная функция – это такая функция, что $f(ax+by) = af(x) + bf(y)$. Похоже, линейность сложения и xor зависит от того, какое определение сложения и умножения вы используете, что зависит от того, какое кольцо вы используете, но вращение линейно в любом кольце.

Также, $f$ принимает один вход, тогда как 32-битное сложение или исключающее ИЛИ принимают два входа, каждый из которых является частью 512-битного элемента. Я предполагаю, что двумерная функция является линейной, если фиксация первого входа делает линейную одномерную функцию.

Похоже, линейность сложения и xor зависит от того, какое определение сложения и умножения вы используете, что зависит от того, какое кольцо вы используете.

Это совершенно правильно; операции, линейные в одном кольце, не обязательно должны быть линейными в другом.

но вращение линейно в любом кольце

Неа; вращение нелинейно в кольце $\mathbb{Z}/{2^{32}}$

Вот пример: пусть $Ф(х)$ быть $х$ повернут вправо на одну позицию.

Затем, $F(1+1) = F(2) = 1$, Однако $F(1) + F(1) = 2^{31} + 2^{31} = 0$, следовательно $F$ не является линейным.

Я предполагаю, что двумерная функция является линейной, если фиксация первого входа делает линейную одномерную функцию.

Нет; если бы это было так, то умножение было бы линейной операцией (потому что, если вы зафиксируете один из входов, он будет линейным в другом).