LowMC算法是在2015年欧密会上提出的一族具有低乘法复杂度的分组密码算法。LowMC算法由部分非线性层和随机产生的线性层组成,且可以通过改变分组长度、密钥长度、每轮S盒个数和数据复杂度得到多种应用化实例。经过多次修改,由原始的LowMC算法衍生出了 LowMCv1、LowMCv2、LowMCv3三个版本。密钥长度为n的LowMC算法简记为LowMC-n,经典版本包括 LowMC-80、LowMC-128 等。目前,针对LowMC算法有多种攻击方法取得了较好成果。在2015年亚密会上,Dinur等人针对第一版LowMC算法（LowMCv1）进行优化插值攻击,在弱密钥条件下,针对具有80比特的密钥长度、256比特的分组长度、每轮49个S盒、数据复杂度为264的11轮算法LowMCv1-80,作者以257的时间复杂度实现了 LowMCv1-80算法的全轮破解。除此之外,针对具有128比特的密钥长度、256比特的分组长度、每轮63个S盒、数据复杂度为2128的12轮算法LowMCv1-128,作者在2118的时间复杂度下全轮攻破该算法。随后,Dobraunig等人在2015年的ICISC会议使用高阶代数攻击改进了上述两个算法的攻击结果,全轮攻破LowMCv1-80和LowMCv1-128算法的时间复杂度分别降至233和265。为保证LowMC算法抵抗上述攻击,LowMC的设计者给出了新的轮数计算公式,更新后的LowMC算法称为LowMCv2。随后,少量S盒、低数据量参数下的LowMCv2被用作新提出的基于非交互式零知识证明的公钥签名方案的加密算法。在2018年的FSE会议上,Rechberger等人借助差分枚举攻击对低数据量和少量S盒数量参数下的LowMC实例的安全性进行了评估,实现了全轮LowMC算法的理论破解。此外,攻击者将时间复杂度设置为接近穷搜的复杂度,导出LowMC算法抵抗差分枚举攻击的最大轮数。为了抵抗差分枚举攻击,LowMC算法在第三版（LowMCv3）再次更新了轮数计算公式。虽然Rechberger等人的攻击实现了全轮LowMC算法的理论破解,但我们注意到其攻击基于理想线性层假设,差分枚举攻击在实例化的LowMCv2算法上的实际攻击效果仍不得而知。基于这一观测,本文将对差分枚举攻击的实际可攻击轮数进行分析。如上所述,考虑到已有的差分枚举攻击是在线性层完全随机的条件下给出的,这与现实应用情境不匹配。为了更加综合全面的理解LowMC算法的安全性,我们对LowMC算法在具体的线性层下抵抗差分枚举攻击的强度进行了研究。首先,通过对关键起始轮数的研究,我们发现差分枚举攻击并非总是可以达到理论攻击轮数。对于某些实际关键起始轮数比理论值小的LowMC实例,差分枚举攻击甚至会失败。考虑到LowMC算法以现有攻击的攻击效果为基准设置轮数的特点,该分析可能对后续LowMC算法新版本的轮数设计产生重要的影响。其次,本文研究了线性层矩阵的汉明重量对攻击有效性的影响。我们发现只要矩阵中元素0和1的位置是随机分布的,汉明重量对攻击轮数几乎没有影响。基于这一结果,我们可以在不改变LowMC算法安全性的前提下,减少LowMC算法线性层矩阵的汉明重量,从而为线性层的选取提供了更大的自由度。