DH 密钥交换协议

P r [K E_{A, Π}^{e a v} (n) = 1] \leq \frac{1}{2} + n e g l (n)

对于下面构造的 DH 密钥交换协议 $Π$ 在窃听攻击模型下是安全的

大概流程：随机选取 $r_{1}, r_{2} \in (0, p - 1)$ ，双方交换 $g^{r_{1}}, g^{r_{2}}$ ，取 $K = g^{r_{1} r_{2}}$ 作为密钥

因为获得 K 需要知道至少一次 r，因为是根据 IND 来定义的，所以根据 DDH 问题得知这个是困难的

🪴 Cyril