在 OTR 版本 3 AKE 協議中使用“r”AES 密鑰的基本原理？

我只是嘗試查看和理解此處 OTR 安全消息傳遞協議版本 3中定義的 AKE（認證密鑰交換）協議 ，並旨在實現完美前向保密

我對所介紹的 DHE（Ephemeral Diffie-Hellman）協議中描述的“r”aes 鍵的處理有點困惑：

• DHE 以非對稱方式使用：g^x 由 Bob 使用 raes 密鑰加密發送，而 g^y 由 Alice 以明文形式發送
• 然後 r（步驟 7）由 Bob 以明文形式進一步發送，以便 Alice 恢復 g^x

這種對我來說似乎很奇怪的 raes 密鑰使用的基本原理是什麼？

• g^x 是否對 Alice 暫時隱藏，直到 Bob 檢查 g^y 是否具有合法價值？
• 我肯定錯過了真正的原因

r 密鑰的使用迫使雙方“修復”公共 DH 密鑰。

所以 Alice 在生成自己的公鑰之前並不知道 Bob 的 DH 公鑰。

Bob 不能根據 Alice 的選擇來選擇公鑰，反之亦然。

這迫使雙方誠實並隨機生成兩個公鑰，因為沒有機會強制可能具有一些弱屬性的特定派生密鑰。

引用自：https://crypto.stackexchange.com/questions/24965