Бумага Взлом симметричных криптосистем с использованием квантового поиска периода показывает, как взломать шифр Эвена-Мансура с помощью алгоритма Саймона. Эвен-Мансур использует два ключа $k_1, k_2$ и случайная публичная перестановка $P$ чтобы зашифровать сообщение $х$:
$$E_{k_1, k_2}(x) = P(x \oplus k_1) \oplus k_2$$
В квантовом сценарии известного открытого текста мы можем использовать определение квантового периода (Алгоритм Саймона), чтобы найти период $k_1$ в следующей функции:
$$f(x) = P(x \oplus k_1) \oplus k_2 \oplus P(x)$$
Четко, $f(x) = f(x \oplus k_1)$
Пока могу следить. Затем в документе утверждается, что если бы был еще один период $t \notin\{0,k_1\}$ такой, что
$$Pr[f(x) = f(x \oplus t)] \geq \frac{1}{2}$$
Тогда для P был бы дифференциал более высокого порядка, потому что тогда было бы справедливо следующее:
$$Pr[P(x) \oplus P(x \oplus k_1) \oplus P(x \oplus t) \oplus P(x \oplus t \oplus k_1)] \geq \frac{1}{2}$ $
Мне непонятно почему. Разве существование другого периода не означало бы просто, что:
$$P(x \oplus k_1) \oplus P(x) = P(x \oplus k_1 \oplus k_1) \oplus P(x \oplus k_1) = P(x \oplus t \oplus k_1) \oplus P( x \oplus t) = P(x \oplus t \oplus k_1 \oplus k_1) \oplus P(x \oplus t \oplus k_1)$$
Как из этого следует дифференциал высшего порядка?
