OAEP

最佳非對稱加密填充
在密碼學中，最佳非對稱加密填充（OAEP）是一個通常和RSA一起使用的填充方案。OAEP由Bellare和Rogaway提出的。
OAEP算法是一種Feistel網路算法。Feistel算法使用隨機預言G和H來處理非對稱加密前的明文。當與任何安全陷門函式f複合使用的時候，這種方式被證明，在隨機預言模型下，對於選擇明文攻擊（密文不可區分性IND-CPA），是一種語義安全的組合方案。OAEP可以用來構建或無變換。
OAEP滿足以下兩個特性：
1． 添加了隨機性的元素，可以用來將原有的確定性的加密方案（如傳統的RSA加密方案）轉換成為一種可能性的方案。
2． 防止對於密文的部分解密（或者其它的信息泄露），通過確保對手在不能反轉陷門單向轉換的情況下，無法復原明文的任何部分。
原版的OAEP算法（Bellare/Rogaway,1994）在隨機預言模型中，使用任何陷門轉換後，顯示出了一種“明文意識”（他們聲稱這是對於選擇明文攻擊的安全防範的證據）。但是隨後的結果否定了這一說法，表明OAEP只滿足IND-CCA1的安全性。然而原版的方案被證明：當使用標準的加密指數以及隨機預言的條件下，與RSA轉換的組合的安全性可以達到IND-CCA2。這就是所謂的RSA-OAEP。由VictorShoup提供的改進方案（被稱作OAEP+）可以與任何陷門單向轉換組合，解決了這個問題。更多的近期工作已經表明：在使用標準模型，假定的RSA難題的強度下無法證明RSA-OAEP具有IND-CAA2的安全性。