"A diferencia de los esquemas ad-hoc como el relleno utilizado en PKCS #1 v1, OAEP es seguro bajo el modelo de oráculo aleatorio".
Tenía la impresión de que se demostró que la prueba original era incorrecta en los documentos de Crypto 2001. ¿Alguien sabe más sobre eso?-- 80.171.158.198 22:02, 27 de febrero de 2006 (UTC)
Aquí hay un ejemplo heurístico: si cifra un mensaje m con RSA PKCS#1 v1.5, entonces el sistema no reconoce el texto sin formato. Si concatena el cifrado con un hash seguro del mensaje, el cifrado reconoce el texto sin formato, pero ya no es semánticamente seguro, porque un atacante puede simplemente intentar adivinar el mensaje, codificarlo y comparar el resultado con el hash. Entonces, para obtener seguridad contra los ataques de texto cifrado elegido, necesita un poco más que solo conocimiento del texto sin formato. 85.2.38.165 17:59, 7 de febrero de 2007 (UTC)
Según tengo entendido, Bleichenbacher hace uso de un oráculo de texto cifrado elegido severamente limitado que no devuelve el texto sin formato completo, sino un solo bit que indica si el texto sin formato RSA sin procesar tiene el formato PKCS # 1 v1.5 correctamente. Por lo tanto, su ataque no requiere el oráculo CCA2 completo: puede tener éxito con menos información, lo que lo convierte en un ataque más fuerte.
Una crítica a la definición de seguridad de CCA2 es que la limitación de Oracle para descifrar texto cifrado de no descifrar el texto cifrado de desafío es artificial. La crítica sugiere que la seguridad CCA2 no es realmente necesaria para evitar un ataque práctico .
El ataque práctico de Bleichenbacher se puede describir sin la limitación de texto cifrado anterior: uno puede enviar el texto cifrado del desafío al oráculo, que devuelve un poco sobre el texto sin formato del desafío. Es realista suponer que el texto cifrado del desafío ya estaba formateado correctamente en PKCS#1 v1.5, por lo que este bit siempre devolvería 1, por lo que el oráculo no revela nada nuevo.