http://www.cs.bu.edu/~reyzin/teachin...es/notes-1.pdf
Un tizio sostiene che la dimostrazione in questione è fallata, ma non ho le conoscenze per dirti se abbia ragione o meno.

D'altra parte anche se è provato che è sicuro, il fatto che la chiave deve essere assolutamente casuale e della stessa lunghezza dei dati da cifrare lo rende inutile per la maggior parte degli utilizzi pratici.