Aceasta este o întrebare interesantă și depinde de situația în care ați putea decripta cu cheia „greșită”.
Dacă două chei $k_1$ și $k_2$ sunt generate independent și $c$ este un text cifrat generat onest sub $k_1$, apoi decriptare $c$ sub $k_2$ va avea ca rezultat o eroare, cu excepția unei probabilități neglijabile. Dacă nu ar fi cazul, ar duce la un atac împotriva securității AEAD (atacatorul doar trimite un text cifrat sub o cheie aleasă independent). Această analiză acoperă cazul decriptării „accidentale” sau „întâmplătoare” cu cheia greșită.
Totuși, aceasta nu acoperă cazul în care $k_1, k_2, c$ sunt toate generate adversar. (Poate că un atacator îți arată $c$ și $k_1$, și de când $c$ decriptează cu succes sub $k_1$ tragi incorect concluzia că cineva cu o cheie diferită nu ar fi putut accepta $c$.) Definițiile obișnuite ale AEAD nu împiedică acest lucru.Există scheme naturale AEAD (inclusiv AES-GCM) în care este posibil să se genereze astfel de scheme $k_1, k_2, c$ astfel încât $c$ decriptează fără eroare sub ambele $k_1$ și $k_2$. Această proprietate poate cauza într-adevăr probleme pentru unele aplicații ale AEAD, cum ar fi acordul cheii autentificate prin parolă și raportarea abuzurilor în mesageria criptată.
Dacă este greu să găsești vreuna $k_1, k_2, c$ Unde $c$ decriptează fără eroare sub ambele $k_1$ și $k_2$, atunci spunem că schema este comiterea cheii. Uneori, proprietatea de confirmare a cheii necesită furnizarea unei valori suplimentare (în afară de textul cifrat și cheia obișnuite) pentru a ajuta la legarea cheii la textul cifrat. Se studiază criptarea cheii de comitere Aici și Aici.
