Điều này không gây ấn tượng với tôi như một giao thức xác thực rất tốt. Bạn có thể xem $(Mrand, \textsf{AES}_{TK}(\textsf{AES}_{TK}(Mrand \oplus p_1) \oplus p_2))$ như một nỗ lực của một CBC-MAC ngẫu nhiên của $p_1\|p_2$, với $Ông$ là vectơ khởi tạo.
Thật không may, CBC-MAC ngẫu nhiên bị hỏng hoàn toàn dưới dạng MAC. Giả sử đối thủ nhìn thấy MAC hợp lệ $(R,T) = \bigl(R, \textsf{AES}_K(\textsf{AES}_K(R \oplus p_1) \oplus p_2)\bigr)$ của một tin nhắn $p_1 \| p_2$.
Sau đó, nó có thể sản xuất $(R \oplus \delta, T)$ đó là MAC hợp lệ của tin nhắn $(p_1 \oplus \delta) \| p_2$.
Ngoài nỗ lực kém tại MAC, giao thức này còn bị các cuộc tấn công lặp lại tầm thường.
Mỗi bên chọn một giá trị ngẫu nhiên ảnh hưởng đến chỉ tin nhắn của riêng họ.
Để ngăn phát lại, mỗi bên nên liên kết các thông báo giao thức của họ với một giá trị ngẫu nhiên được chọn bởi khác bữa tiệc.
Thậm chí còn có một cuộc tấn công phản ánh. Trong giao thức này nếu chủ gửi $Mrand, Mconfirm$ sau đó khách hàng có thể phản hồi lại $Srand=Ông$ và $Sconfirm=Mconfirm$, điều này sẽ xác minh chính xác trừ khi có nhiều giao thức hơn bạn đề cập.
Kết quả của các cuộc tấn công này là một điểm cuối tin rằng nó đã được ghép nối thành công, mặc dù điểm cuối kia không biết khóa ngoài băng tần $TK$. Tuy nhiên, kẻ tấn công không thể lấy được khóa phiên.
