Исследование дифференциального и линейного криптоанализа значительно прояснило теорию проектиров а-ния хорошего блочного шифра. Авторы IDEA ввели понятие дифференциалов,обобщение основной идеи характеристик [931]. Они утверждали, что можно создавать блочные шифры, устойчивые к вскрытиям такого т и-па. Результатом подобного проектирования и является IDEA [931]. Позднее это понятие было формализовано в [1181, 1182], когда Кайса Ниберг (Kaisa Nyberg) и Ларе Кнудсен (Lars Knudsen) показали, как создавать бло ч-ные шифры доказуемо безопасные по отношению к дифференциальному криптоанализу. Эта теория была ра с-ширена на дифференциалы высших порядков [702, 161, 927, 858, 860] и частичные дифференциалы [860]. К а-жется, что дифференциалы высших порядков применимы только к шифрам с малым числом этапов, но части ч-ные дифференциалы прекрасно объединяются с дифференциалами.
Линейный криптоанализ новее, и он все еще совершенствуется. Были определены понятия классификации ключей [1019] и нескольких приближений [811, 812]. Еще одно расширение криптоанализа можно найти в [1270]. В [938] была предпринята попытка объединить дифференциальный и линейный криптоанализ в одном вскрытии. Пока неясно, какая методика проектирования сможет противостоять подобным вскрытиям.
Кнудсен добился некоторого успеха, рассматривая некоторые необходимые (но, возможно, не достаточные) критерии того, что он назвал практически безопасными сетями Фейстела-шифров, устойчивых как к дифференциальному, так и к линейному криптоанализу [857]. Ниберг ввел для линейного криптоанализа аналог понятия дифференциалов в дифференциальном криптоанализе [1180].
Достаточно интересной кажется двойственность дифференциального и линейного криптоанализа. Эта дво й-ственность становится очевидной как при разработке методики создания хороших дифференциальных характ е-ристик и линейных приближений [164, 1018], так и при разработке критерия проектирования, обеспечивающего устойчивость алгоритмов к обоим типам вскрытия [307]. Пока точно неизвестно, куда заведет это направление исследований. Для начала Дэймен разработал стратегию проектирования алгоритма, основанную на диффере н-циальном и линейном криптоанализе [402].