Это интересный вопрос, и он зависит от ситуации, когда вы можете расшифровать «неправильным» ключом.
Если два ключа $k_1$ и $k_2$ генерируются независимо и $с$ представляет собой честно сгенерированный зашифрованный текст под $k_1$, затем расшифровка $с$ под $k_2$ приведет к ошибке, за исключением случаев с незначительной вероятностью. Если бы это было не так, это привело бы к атаке на безопасность AEAD (злоумышленник просто отправляет зашифрованный текст с независимо выбранным ключом). Этот анализ охватывает случай «случайного» или «случайного» дешифрования неправильным ключом.
Однако это не распространяется на случай, когда $к_1, к_2, с$ все генерируются враждебно. (Возможно, злоумышленник показывает вам $с$ и $k_1$, и с тех пор $с$ успешно расшифровывает под $k_1$ вы ошибочно заключаете, что кто-то с другим ключом не мог принять $с$.) Обычные определения AEAD не мешают этому.Существуют естественные схемы AEAD (включая AES-GCM), где можно генерировать такие $к_1, к_2, с$ такой, что $с$ расшифровывает без ошибок под обоими $k_1$ и $k_2$. Это свойство действительно может вызвать проблемы для некоторых приложений AEAD, например соглашение о ключе с аутентификацией паролем и сообщения о злоупотреблениях в зашифрованных сообщениях.
Если трудно придумать что-либо $к_1, к_2, с$ куда $с$ расшифровывает без ошибок под обоими $k_1$ и $k_2$, то говорят, что схема передача ключей. Иногда свойство фиксации ключа требует предоставления некоторого дополнительного значения (помимо обычного зашифрованного текста и ключа), чтобы помочь связать ключ с зашифрованным текстом. Шифрование с фиксацией ключа изучается здесь и здесь.
