О разностях по модулю $2^n$, с высокой вероятностью проходящих через ARX-преобразование

Исследуются высокие значения разностной характеристики по модулю $2^n$ для преобразования $(x \oplus y) \lll r$, где $x, y \in \mathbb{Z}_2^n$ и $1 \leq r < n$. Они интересны в контексте разностного криптоанализа шифров, использующих сложение по модулю $2^n$, побитовый XOR и циклический сдвиг битов на $r$ позиций как базовые операции. Описаны все разности с вероятностью больше $1/4$ с точностью до симметрий аргументов. Возможными значениями вероятности при этом условии являются $1/3 + 4^{2 - i} / 6$ для всех $i \in \{1, \dots, n\}$, что совпадает с аналогичными вероятностями для преобразования $x \oplus y$. Описаны разности, на которых достигается каждое из значений, и подсчитано их количество. Установлено, что общее число разностей с приведёнными вероятностями равно $48n - 68$ при $n \geq 2$.