«Родной» S-box AES'а опеределен, как композиция двух преобразований:
Взятие мультипликативного обратного от полинома 7-й степени с коэффициентами из преобразуемого входного байта над GF(2^8) («00» переходит сам в себя).
Собственно аффинное преобразование такого же вида, как рассмотрено в статье (с другими матрицей M и смещением v, разумеется).
Поэтому с «тру подстановкой» однораундовое преобразование имело бы вид отображения w |-> Mw^{-1} + v + ki. Из-за «накопления» (-1)-й степени для 15-ти раундового преобразования становится невозможным получение простой конечной формулы для Pi.
В этом и заключается роль хорошего S-box'а: из-за вносимой нелинейности атакующему не удастся свести шифр к простому уравнению / системе уравнений.
Поэтому с «тру подстановкой» однораундовое преобразование имело бы вид отображения
w |-> Mw^{-1} + v + ki. Из-за «накопления» (-1)-й степени для 15-ти раундового преобразования становится невозможным получение простой конечной формулы для Pi.
В этом и заключается роль хорошего S-box'а: из-за вносимой нелинейности атакующему не удастся свести шифр к простому уравнению / системе уравнений.