公钥加密方案在选择密文攻击下的不可区分性

IND-CPA安全仅保证敌手是完全被动时（即仅做监听）的安全，不能保证敌手是主动情况时（例如向网络中注入消息）的安全。

为了描述主动攻击，1990年Naor和Yung提出了（非适应性）选择密文攻击（Chosen Ciphertext Attack,CCA）的概念，其中敌手在获得目标密文之前可以访问解密预言机。预言机也称为神谕、神使或者传神谕者。神谕是古希腊的一种神谕活动，由女祭司代神传谕，解答疑难者的扣问，她们被认为是在传达神的旨意。因为在IND-CCA游戏中，除了要求敌手是多项式时间之外，不能对敌手的能力做任何限制。敌手除了自己有攻击IND-CCA游戏的能力外，可能还会借助外力。这个外力是谁，我们统称预言机。敌手获得目标密文后，希望获得目标密文对应的明文的部分信息。
IND-CCA如下：
1.初始化。挑战者产生系统II,敌手获得系统的公开钥。
2.训练。敌手向挑战者（或解密预言机）做解密询问（可多项式有届次），即取密文CT给挑战者，挑战者解密后，将明文给敌手。
3.挑战。敌手输出两个长度相同的消息M0和M1，再从挑战者接收Mr的密文，随机值r属于{0,1}
4.猜测。敌手输出r’，如果r=r'，则敌手攻击成功。
以上攻击称为“午餐时间攻击”或“午夜时间攻击”相当于有一个执行解密运算的黑盒，掌握黑盒的人在午餐时间离开后，敌手能使用黑盒对自己选择的密文解密。午餐过后，给敌手一个目标密文，敌手试图对目标密文解密，但不能再使用黑盒了。
第二步可以形象的看做是敌手发起攻击前对自己的训练（自学），这种训练可通过挑战者，也可通过解密预言机。
敌手的优势为安全参数为K的函数：

实例

参考：密码学中的可证明安全性_杨波