對於一個密碼算法,很難精確的定量描述它的安全性,常見的定性安全模型主要包括以下內容。

1.無條件安全性。假設攻擊者有不受限的計算資源,在此模式下,只有當密鑰與明文的大小相同時,安全的加密才存在。每個固定的密鑰只能用來加密個明文消息,所以無條件的安全性對實用的分組密碼來說不是有用的模式。

2.多項式安全性。與無條件安全性構成鮮明對比,假設攻擊者的計算資源是有限的，具體而言,假定攻擊者有一個運行多項式時間的概率算法,根據攻擊密碼系統的可行性來考慮密碼系統的安全性。這個模式起源於複雜性理論,基於攻擊者僅有多項式的計算資源的假定。該模式常考慮最壞的情況,漸近地分析確定一個密碼的多項式攻擊是否存在,然而，即使這種攻擊存在,仍不能保證這種攻擊是實際可操作的。

3.“可證明”的安全性。一般這意味着兩件事情:第一,若可以證實破譯一個分組密碼與解決某個大家都知道的困難問題一樣困難,則該密碼可認為是安全的;第二,一個分組密碼可被證明抗擊某種已知的攻擊。然而,應強調這並不意味密碼可抗擊所有的攻擊,所以把“可證明”加上引號,以免被誤解。

4.實際的安全性。在這種模式下,若一個最好的攻擊方法需要的計算資源超出安全邊界過多,則可認為該密碼是實際安全的。對不同的已知攻擊,可分別測試其所需的時間與空間資源,然後估計其強度。在分析具體的密碼時,這種模式给予更多的信息,雖然它不能抗擊未知攻擊。

5.歷史的安全性。由密碼吸引的注意力的量來估測密碼安全水平是非常有用的。然而,也應注意到,密碼強度並不總是依據它存在的時間來測量的。

由於大多數情況是在“實際安全性”的模式下考慮問題,因此常根據密碼攻擊要用的時間、存儲、數據複雜性來測量攻擊成功的水平。對一個N bit的分組密碼,應重點考慮下列複雜度。

·數據複雜度:進行一個攻擊所要輸入的數據量。

·處理複雜度:實施一個攻擊用的時間。

·存儲複雜度:需要存儲容量。

一般來說,攻擊複雜度取三者之中最大的。這個規則也有例外,而且還要考慮相關攻擊者的環境。一般來說,现在存儲的需要對大多數攻擊者來說都不太現實,所以認為存儲比時間更昂貴。