Das »Meet-next-to-last-Round«-Modell sowohl der linearen als auch
der differenziellen Kryptoanalyse beruht auf einem Anpassungstest:
Aus einer zufälligen Menge von
Geheimtexten mit bekannten Klartexten wird nach Abstreifen der letzten
Runde eine Verteilung für eine gewählte linearen Relation
oder Differenz produziert.
Ein versuchsweise verwendeter Schlüssel für die letzte Runde ist
wahrscheinlich richtig, wenn diese Verteilung mit der
erwarteten Verteilung verträglich ist. Hierfür ist eine theoretische oder
empirische Rechtfertigung zu erarbeiten.