Часто схемы (асимметричного) шифрования можно обсуждать с точки зрения доказуемой безопасности — мы можем показать, что схема безопасна при определенных атаках, если основной криптографический примитив является сложным. Другими словами, доказуемая безопасность основана на сведении нашей проблемы к ее примитиву, например, проблема RSA сводится к проблеме факторинга.
Как правило, обсуждаются следующие четыре свойства: IND, CPA, CCA и CCA2:
ИНД (неразличимость): противник не может отличить шифрование любых двух сообщений одинаковой длины, т.е. если задан зашифрованный текст вызова $с$, они не могут сказать, если $с$ пришли из $m_1$ или же $m_2$.
Индивидуальная цена за конверсию (неразличимость при атаке с выбранным открытым текстом): злоумышленник не может отличить, какое сообщение использовалось для создания зашифрованного текста вызова, если ему предоставлен доступ к открытому ключу (другими словами, он может создавать зашифрованные тексты из выбранных сообщений).
IND-CCA (неразличимость при атаке с выбранным зашифрованным текстом): то же самое, что и раньше, однако на этот раз у противника есть оракул дешифрования, который он может запрашивать, пока ему не будет предоставлен зашифрованный текст вызова.
IND-CCA2 (неразличимость при атаке с адаптивным выбранным зашифрованным текстом): как и в предыдущем примере, однако теперь злоумышленнику разрешено запрашивать оракула дешифрования даже после получения запроса (с оговоркой, что ему не разрешено вводить зашифрованный текст вызова оракулу)
Они выбраны для обсуждения, как если бы мы могли доказать, что (предполагая, что доказательство применяется в надлежащем контексте), нам нужно беспокоиться только о сложности проблемы, лежащей в его основе.
Определения этих свойств могут немного отличаться для симметричных схем (они не основаны на математических задачах), но мы можем доказать аналогичные результаты, опять же при определенных условиях (вспомните длину ключа).
Это позволяет нам теперь оценить «уровень безопасности» для этих параметров таким образом, чтобы их можно было перевести и сравнить с AES.