本节我们分析应用Diffie-Hellman密钥交换的加密密钥交换（EKE）协议。虽然原始的协议有许多潜在的缺陷并缺乏安全证明，但有助于我们理解这些协议的问题到底出在哪儿，对这些协议的完全不同的攻击可能也适用于有强密钥的协议。

EKE的大致思想是传输用口令加密的短暂公钥作为共享密钥。只有知道口令的实体才能完成协议。这个思想适用于不同公钥策略的短暂密钥。这里，我们只考虑Diffie-Hellman密钥交换，两个实体都选择短暂公钥，口令用于加密短暂公钥，如图4.56所示。

图4.56　基于Diffie-Hellman的EKE协议(www.daowen.com)

在基本Diffie-Hellman密钥协商中，虽然由共享秘密ZAB产生会话密钥KAB的密钥生成函数没有具体说明，仍有ZAB=grArB。图4.56中双方都需要进行两次幂运算，这和普通Diffie-Hellman是一样的。

在Bellovin和Merritt协议中，如何选择使用π的对称加密算法是非常灵活的。他们认为很多选择都是可以接受的，甚至是非常弱的算法。但是，很显然，使用没有特别性质的加密函数会妨碍获得安全证明并易受某些情形的攻击。

Bellovin和Merritt引入对EKE的分割攻击（Partition Attack）的思想，攻击者猜测口令试图解密{tA}π和{tB}π并检验明文结果是否是一个有效的Diffie-Hellman短暂值。如果不是，则猜测的口令是错误的并丢弃之。经过多次协议运行后，就可以分割出有效的口令集和无效的口令集。