Przeciwienstwo tajemnicy przedniej: tajemnica wsteczna jest wlasciwoscia
ze jesli atakujacy naruszy pewne tajne wartosci, przyszle
wiadomosci pozostaja chronione. Jesli caly stan systemu zostanie
zagrozony - w tym klucze dlugo- i krotkoterminowe, jak rowniez
kazdy tajny stan lub kontrprzyklad - tajemnica wsteczna jest czesto niemozliwa.
Wyjatkiem sa generatory pseudolosowe, gdzie niepewnosc moze byc
wprowadzic do systemu poprzez zasilanie z wiarygodnych zrodel entropii,
uniemozliwiajac atakujacemu okreslenie przyszlych bitow wyjsciowych na podstawie
przeszlej migawki systemu. W kontekscie bezpiecznego przesylania wiadomosci,
niektore modele zakladaja, ze atakujacy moglby naruszyc tylko
pewne zestawy kluczy, ale niekoniecznie caly lokalny tajny stan:
w tym przypadku moze byc zagwarantowana pewna forma backward secrecy.