2856                                 Journal of Software  软件学报 Vol.32, No.9,  September 2021































































                                    Fig.7    KCI attack in 1-RTT semi-static mode
                                    图 7   1-RTT semi-static 模式下的 KCI 攻击

             图 6 中的攻击描述的是 1-RTT semi-static 模式下 Early Data 的泄露过程,两个 run 之间交互的路径表示正
         常的协议交互流程.可以观察到:在扮演客户端角色的 Bob(C)向扮演服务器角色的 Alice(S)发送消息 M7(即 Bob
         的公钥)时,敌手可以截获这条消息,再通过 CK 模型腐化 Alice 获得 Alice 的长期私钥,从而计算出用于加密 Early
         Data 的密钥 eadk.这时再截获 M11 消息,即可对其中加密的 Early Data 进行解密.
             具体攻击描述如下.