Un ataque de recuperación de clave es el intento de un adversario de recuperar la clave criptográfica de un esquema de cifrado. Normalmente esto significa que el atacante tiene un par, o más de un par, de mensaje de texto simple y el texto cifrado correspondiente . [1] : 52 Históricamente, el criptoanálisis de cifrados de bloque se ha centrado en la recuperación de clave, pero la seguridad contra este tipo de ataques es una garantía muy débil ya que puede no ser necesario recuperar la clave para obtener información parcial sobre el mensaje o descifrar el mensaje por completo. [1] : 52 La criptografía moderna utiliza nociones más sólidas de seguridad. Recientemente, la indistinguibilidad bajo el ataque de texto cifrado elegido adaptativo (seguridad IND-CCA2) se ha convertido en el "estándar de oro" de la seguridad. [2] : 566 El ataque de recuperación de clave más obvio es el ataque de búsqueda exhaustiva de clave . Pero los cifrados modernos a menudo tienen un espacio de clave de tamaño o mayor, lo que hace que tales ataques sean inviables con la tecnología actual.
En criptografía , la ventaja de recuperación de clave ( ventaja KR ) de un algoritmo en particular es una medida de la eficacia con la que un algoritmo puede montar un ataque de recuperación de clave. En consecuencia, la máxima ventaja de recuperación de clave alcanzable por cualquier algoritmo con una cantidad fija de recursos computacionales es una medida de la dificultad de recuperar la clave de un cifrado . Se define como la probabilidad de que el algoritmo adversario pueda adivinar la clave seleccionada aleatoriamente de un cifrado, dada una cantidad fija de recursos computacionales. [3] Una ventaja KR extremadamente baja es esencial para la seguridad de un esquema de cifrado .