О вероятностях $r$-раундовых пар разностей XSL-алгоритма блочного шифрования Маркова с приводимым линейным преобразованием

Раундовая функция XSL-алгоритма блочного шифрования является композицией трёх преобразований: преобразования сдвига (сложение с ключом), нелинейного преобразования (s-бокса) и линейного преобразования. Для XSL-алгоритма блочного шифрования Маркова с приводимым линейным преобразованием вместо “классической” $r$-раундовой разностной характеристики в разностном методе рассматривается $r$-раундовая характеристика, заданная последовательностью смежных классов инвариантного подпространства линейного преобразования.