Criptoanálisis diferencial

[1]​ El descubrimiento del criptoanálisis diferencial se atribuye generalmente a Eli Biham y Adi Shamir a finales de los años 1980, que publicaron una serie de ataques contra varios cifrados de bloque y funciones hash, incluyendo una debilidad teórica en el Data Encryption Standard (DES).[2]​ En 1994, un miembro del equipo original del desarrollo del cifrado DES de IBM, Don Coppersmith, publicó un papel que indicaba que el criptoanálisis diferencial era conocido por IBM en el año 1974, y que una de las grandes metas en el desarrollo fue, precisamente, luchar contra este tipo de criptoanálisis.La versión original propuesta con cuatro rondas (FEAL-4) se puede romper utilizando sólo ocho Chosen-plaintexts attack, e incluso una versión de 31 rondas de FEAL es susceptible al ataque.En contraste, el esquema puede criptoanalizar satisfactoriamente DES con un esfuerzo de orden 247 chosen-plaintexts attack.Se espera que los nuevos diseños sean acompañados por evidencias de que el algoritmo es resistente a este ataque, y muchos, incluyendo el Estándar de Encriptación Avanzado, han sido probados contra el ataque.Por lo general, el ataque se aplica esencialmente a los componentes no lineales como si fueran un componente sólido (normalmente son en realidad tablas de búsqueda o cajas S).Esto habría permitido espacio para una caja S más eficiente.Por ejemplo, S(x) = x3 en cualquier campo binario impar es inmune al criptoanálisis diferencial y lineal.Esto es en parte porque AES (por ejemplo) tiene un mapeo afín después de la inversión.