Разности по модулю $2^n$ для arx-преобразований, вероятность которых больше $1/4$

Рассматриваются разностные характеристики по модулю $2^n$ для преобразований $x \oplus y$ и $(x \oplus y) \lll r,$ где $x, y \in \mathbb{Z}_2^n$ и $1 \leq r < n.$ Эти характеристики применяются при разностном криптоанализе шифров архитектуры ARX, использующих в качестве операций только сложение по модулю $2^n,$ побитовое исключающее «или» (XOR, $\oplus$) и циклический сдвиг битов на $r$ позиций ($\lll r$). Получена полная характеризация разностей, вероятность которых больше $1/4.$ Возможными значениями вероятности при этом условии являются $1/3 + 4^{2 - i} / 6$ для обоих преобразований, где $i \in \{1, \dots, n\}.$ Описаны разности, на которых достигается каждое из значений, и подсчитано их число. Найдено общее число разностей с приведёнными вероятностями: $48n - 68$ для $x \oplus y$ и $24n - 30$ для $(x \oplus y) \lll r,$ где $n \geq 2.$ Также дано сравнение разностных характеристик в контексте рассматриваемого ограничения на вероятность. Табл. 6, библиогр. 23.