如何打破基于异或和旋转的加密？

我听说纯粹基于XOR和Rotation的加密本质上很弱。 ARX的旋转密码分析论文说：


也很容易证明省略加法或旋转是毁灭性的，并且这样的系统（XR和AX）总是可以破坏的。 >

但是我找不到有关如何实际执行操作的任何信息。任何人都可以给出提示吗？

（更新：）

@CodesInChaos指出：“您可以将每个输出位描述为一组固定的输入/键位的XOR。这样就产生了几百个线性方程，其模为$ 2 $，可以有效地求解。”对于简单的XR密码，我了解它是如何工作的。但是对于更复杂的问题，我还是有问题。如下所示：假设一个基于玩具XOR /旋转的密码（密码1）使用4位密钥$ K $将4位明文$ P $加密为4位密文$ C $。加密过程如下（示例$ p = 1001 $，$ k = 1000 $和$ c = 1110 $，所有加法都是$ 2 $模的加法运算）：


$ E_1 $。向右旋转$ P $ 2位，产生$ M $（$ 1001 \ rightarrow 0110 $），
$ E_2 $。将$ M $与$ K $异或，生成$ C $（$ 0110 + 1000 = 1110 $）

相应的解密过程：


$ D_1 $。将$ C $与$ K $异或，产生$ M $（$ 1110 + 1000 = 0110 $）
$ D_2 $。向左旋转$ M $ 2位，产生$ P $（$ 0110 \ rightarrow 1001 $）

按照@CodesInChaos的建议，我可以将解密转换为以下线性方程组：

c1 + k1 = p3       1 + k1 = 1       k3 = 1
c0 + k0 = p2  ==>  0 + k0 = 0  ==>  k2 = 0          (A)
c3 + k3 = p1       1 + k3 = 0       k1 = 0
c2 + k2 = p0       1 + k2 = 1       k0 = 0

到目前为止一切顺利。但是，如果上述步骤$ E_2 $中的旋转位不是常数2，而是随输入明文而变化，该怎么办？例如，让我们对上面的密码进行一些修改（密码2）：


$ E_1 $。将$ P $右旋转$ n $位，产生$ M $。其中$ n $ = $ P $的高2位（$ 1001 \ rightarrow 0110 $），
$ E_2 $。将$ M $与$ K $进行XOR，产生$ C $（$ 0110 + 1000 = 1110 $）

我无法将此密码转换为简单的线性方程组。因为从键和输入位开始，每个输出位都不再具有固定功能。

所以我的问题是：密码2是否仍然可以用作“纯XR”系统？还有打破它的通用方法吗？