Я думаю, вы запутались. В аннотации указано противоположный:
Абстрактный:
Как меняется безопасность AES при включении S-box?
заменен секретным S-блоком, о котором противник ничего не знает?
Безопасно ли уменьшить количество раундов шифрования?
В этой статье мы демонстрируем атаки на основе интегрального криптоанализа, которые позволяют восстановить как секретный ключ, так и секретный S-блок для четырех, пяти и шести раундов AES соответственно.
Несмотря на значительно больший объем секретной информации, необходимой противнику
для восстановления, атаки очень эффективны со сложностью времени/данных
$2^{17}/2^{16},2^{38}/2^{40}$ и $2^{90}/2^{64},$ соответственно.
Еще один интересный аспект нашей атаки заключается в том, что она работает как по
открытый текст и атака по выбранному зашифрованному тексту. Неожиданно выбранный вариант зашифрованного текста имеет значительно меньшую временную сложность при атаках на четыре и пять раундов по сравнению с соответствующими атаками с выбранным открытым текстом.
В заключении хотя номинальная длина ключа намного больше продемонстрированные атаки не демонстрируют соответствующего увеличения вычислительной сложности.
Примечание: Сложность атаки $2^f$ эквивалентно $ф$ биты безопасности, обычно измеряемые $2^f$ шифрование/дешифрование с точки зрения времени и $2^f$ блоков памяти по объему.