在對稱密鑰加密中使用預共享密鑰來共享會話密鑰是否容易受到 MITM 的攻擊？

考慮以下協議：

Alice                    ------------------------> R1     Bob
Alice        k(R1),R2    <-----------------------         Bob
Alice                     ------------------------> k(R2) Bob
Alice         k(S)       <------------------------        Bob

在哪裡

• k是預共享密鑰，只有 Alice 和 Bob 知道；
• k(x)是 x 在 key 下的加密k
• R1是 Alice 生成的隨機數；
• R2是 Bob 生成的隨機數；
• S是會話密鑰，由 Bob 生成。

該協議是否容易受到 MITM 的影響？如果是，那麼如何？

一個明顯但不嚴重的弱點是數字R1並將R2以純文字形式發送。這意味著 MITM 能夠修改R1orR2以使 Alice 或 Bob 始終無法通過身份驗證，儘管他們擁有合法的密鑰K。

我有一個建議，你可以如何改進這個協議。只是因為在協議的最後一步，Bob 只發送 encrypted S，MITM 可以等待前面的步驟成功完成，然後發送一些舊消息K(S_old)，其中S_old是舊的會話密鑰，已被洩露。為避免此類危險，R2請在 Bob 的最後響應中添加數字K(S,R2)。

引用自：https://crypto.stackexchange.com/questions/14582