是否存在在 eCK 模型中安全且具有 PFS 的兩遍 AKE 協議？

正如我們所知，DH 消息可以實現的最好的兩通 AKE 協議是完美前向安全（wPFS）的弱形式，它保證了對被動對手的安全性。但是“具有完美前向安全性的強安全一輪認證密鑰交換協議”（黃海）聲稱，它提出的 AKE 可以在一輪內針對主動對手實現完美前向安全性。

那是對的嗎？為什麼？

可以在兩條消息中針對活躍的對手實現 PFS。您提到的“我們知道”是不正確的；這種誤解似乎源於對 Krawczyk 在 2005 年的HMQV 論文中的結果的過度解釋。充其量，該論點似乎適用於交換 g^x、g^y 形式的消息的協議，其中 x 和 y 是隨機值：對於這些協議，您似乎無法通過 Krawczyk 的範例攻擊來針對活躍的對手實現 PFS。然而，他的論點通常不適用於兩個消息協議（例如，交換不同形式的消息）。

這種誤解在 Cremers 和 Feltz 的這篇論文的介紹中得到了詳細解釋，其中還包括一個完整的安全模型和一個（構造一個）雙消息協議的詳細證明，該協議實現了一種隱含 eCK 的安全形式- 針對活躍對手的安全性和 PFS。

有一個較早的協議（由 Gennaro、Krawczyk 和 Rabin 編寫）在兩條消息中實現了針對主動對手的 PFS，並且還進行了隱式身份驗證，但沒有實現 e-CK 安全性：它是在文章末尾描述的基於 PKI 的變體這篇論文。

eCK 安全變體的第一個描述可在此處找到。

所以是的，有可能實現這一目標。

引用自：https://crypto.stackexchange.com/questions/9519