การโจมตีด้วยข้อความเข้ารหัสที่เลือกแบบปรับเปลี่ยนได้ (ย่อว่าCCA2 ) เป็นรูปแบบการโจมตีด้วยข้อความเข้ารหัสที่เลือกแบบโต้ตอบซึ่งผู้โจมตีจะส่งข้อความเข้ารหัส จำนวนหนึ่ง เพื่อถอดรหัสโดยเลือกแบบปรับเปลี่ยนได้ก่อน จากนั้นจึงใช้ผลลัพธ์เพื่อแยกแยะข้อความเข้ารหัสเป้าหมายโดยไม่ต้องปรึกษาออราเคิลเกี่ยวกับข้อความเข้ารหัสที่ท้าทาย ในการโจมตีแบบปรับเปลี่ยนได้ ผู้โจมตีจะได้รับอนุญาตให้ถามคำถามแบบปรับเปลี่ยนได้หลังจากที่เปิดเผยเป้าหมายแล้ว (แต่ไม่อนุญาตให้ถามคำถามเป้าหมาย) นี่เป็นการต่อยอดจากการโจมตีด้วยข้อความเข้ารหัสที่เลือกแบบไม่ปรับเปลี่ยนได้ (CCA1) ซึ่งขั้นตอนที่สองของการถามคำถามแบบปรับเปลี่ยนได้นั้นไม่ได้รับอนุญาตCharles Rackoffและ Dan Simon ได้นิยาม CCA2 และเสนอระบบที่สร้างขึ้นจากคำนิยามและระบบ CCA1 แบบไม่ปรับเปลี่ยนได้ของMoni NaorและMoti Yung (ซึ่งเป็นการศึกษาครั้งแรกเกี่ยวกับภูมิคุ้มกันต่อการโจมตีด้วยข้อความเข้ารหัสที่เลือกของระบบกุญแจสาธารณะ)

ในสถานการณ์จริงบางอย่าง เป้าหมายของการโจมตีแบบนี้คือการค่อยๆ เปิดเผยข้อมูลเกี่ยวกับข้อความที่เข้ารหัส หรือเกี่ยวกับกุญแจถอดรหัสเอง สำหรับระบบกุญแจสาธารณะ การเข้ารหัสแบบปรับเปลี่ยน ได้ (adaptive-chosen-ciphertexts) โดยทั่วไปจะใช้ได้ก็ต่อเมื่อมีคุณสมบัติในการ เปลี่ยนแปลง แก้ไขข้อความเข้ารหัสได้ (ciphertext malleability ) กล่าวคือ ข้อความเข้ารหัสสามารถถูกแก้ไขได้ในลักษณะเฉพาะที่จะส่งผลต่อการถอดรหัสข้อความนั้นอย่างคาดเดาได้

การโจมตีแบบเลือกข้อความเข้ารหัสแบบปรับเปลี่ยนได้อาจถูกมองว่าเป็นข้อกังวลทางทฤษฎี แต่ไม่เคยปรากฏให้เห็นในทางปฏิบัติ จนกระทั่งปี 1998 เมื่อDaniel Bleichenbacher (ซึ่งขณะนั้นทำงานอยู่ที่Bell Laboratories ) ได้สาธิตการโจมตีในทางปฏิบัติกับระบบที่ใช้การเข้ารหัส RSA ร่วมกับ ฟังก์ชันการเข้ารหัส PKCS#1 v1.5 ซึ่งรวมถึงโปรโตคอล Secure Sockets Layer (SSL) เวอร์ชันหนึ่ง ที่ใช้โดย เว็บเซิร์ฟเวอร์ หลายพันเครื่อง ในขณะนั้น^{[ 1 ]}

การโจมตี Bleichenbacher หรือที่รู้จักกันในชื่อการโจมตีข้อความล้านข้อความ ใช้ประโยชน์จากข้อบกพร่องภายในฟังก์ชันการเติมข้อมูลของ PKCS #1 v1.5 เพื่อค่อยๆ เปิดเผยเนื้อหาของข้อความที่เข้ารหัส RSA ภายใต้ฟังก์ชันการเติมข้อมูลนี้ ข้อความธรรมดาที่เติมข้อมูลจะมีรูปแบบคงที่ที่ต้องปฏิบัติตาม หากอุปกรณ์ถอดรหัส (เช่น เว็บเซิร์ฟเวอร์ที่ติดตั้ง SSL) เปิดเผยได้ว่าการเติมข้อมูลนั้นถูกต้องหรือไม่ มันก็จะทำหน้าที่เป็น "ออราเคิล" ที่เปิดเผยข้อมูลเกี่ยวกับคีย์ลับ การค้นหาคีย์ทั้งหมดต้องส่งข้อความเข้ารหัสทดสอบหลายล้านข้อความไปยังเป้าหมาย^{[ 2 ]}ในทางปฏิบัติ หมายความว่าคีย์เซสชัน SSL สามารถถูกเปิดเผยได้ในระยะเวลาที่เหมาะสม อาจเป็นหนึ่งวันหรือน้อยกว่านั้น

ช่องโหว่นี้ยังคงสามารถใช้ประโยชน์ได้ในเซิร์ฟเวอร์จำนวนมากในปี 2018 แม้จะมีการเปลี่ยนแปลงเล็กน้อย ภายใต้ชื่อใหม่ว่า "ภัยคุกคาม Oracle ของ Bleichenbacher กลับมาอีกครั้ง" (ROBOT) ^{[ 3 ]} และอีกครั้งในปี 2023 ในชื่อ Marvin Attack ^{[ 4 ]}

เพื่อป้องกันการโจมตีแบบเลือกเข้ารหัสแบบปรับเปลี่ยนได้ จำเป็นต้องใช้รูปแบบการเข้ารหัสหรือการเข้ารหัสที่จำกัดความยืดหยุ่น ของข้อความเข้ารหัส และพิสูจน์ความปลอดภัยของระบบ หลังจากที่ระบบ CCA ที่ปลอดภัยได้รับการพัฒนาในระดับทฤษฎีและพื้นฐานแล้ว ได้มีการเสนอระบบจำนวนหนึ่งในแบบจำลอง Random Oracle โดยมาตรฐานที่ใช้กันทั่วไปสำหรับการเข้ารหัส RSA คือOptimal Asymmetric Encryption Padding (OAEP) ซึ่งแตกต่างจากรูปแบบที่ปรับปรุงใหม่ เช่น การเติมข้อมูลที่ใช้ใน PKCS#1 เวอร์ชันแรกๆ OAEP ได้รับการพิสูจน์แล้วว่าปลอดภัยในแบบจำลองRandom Oracle ^{[ 5 ]} OAEP ได้ถูกรวมเข้าไว้ใน PKCS#1 ตั้งแต่เวอร์ชัน 2.0 ที่เผยแพร่ในปี 1998 เป็นรูปแบบการเข้ารหัสที่แนะนำในปัจจุบัน โดยรูปแบบเก่ากว่ายังคงได้รับการสนับสนุน แต่ไม่แนะนำสำหรับแอปพลิเคชันใหม่^{[ 6 ]}อย่างไรก็ตาม มาตรฐานทองคำสำหรับความปลอดภัยคือการแสดงให้เห็นว่าระบบปลอดภัยโดยไม่ต้องอาศัยอุดมคติของ Random Oracle ^{[ 7 ]}

ในการเข้ารหัสเชิงทฤษฎีความซับซ้อน ความปลอดภัยจากการโจมตีแบบเลือกข้อความเข้ารหัสแบบปรับเปลี่ยนได้ มักจะจำลองโดยใช้ความไม่สามารถแยกแยะข้อความเข้ารหัสได้ (IND-CCA2)