Протокол сигнала: X3DH

Я пытался понять, как работает протокол Signal. Согласно спец., DH делается на четыре клавиши: ИК_А, СПК_Б, ЕК_А и ИК_Б:

Если в связке нет одноразового предварительного ключа, она вычисляет:

    ДХ1 = ДХ(ИК_А, СПК_Б)
    DH2 = DH(EK_A, IK_B)
    ДХ3 = ДХ(ЭК_А, СПК_Б)
    SK = KDF(DH1 || DH2 || DH3)

Учитывая, что все эти четыре ключа являются открытыми ключами и объявляются по ненадежным каналам, не мог ли гнусный игрок вычислить общий секрет? СК?

Фактически $ДХ1, ДХ2$ и $DH3$ не «объявляются по ненадежным каналам».

Я думаю, что эта документация нечеткая. Для вычисления DH Алиса использует дискретный логарифм IK_A и EK_A, известный только ей самой.

Чтобы быть более конкретным, если IK_A = g^{sk_A} и SPK_B=g^{sk_B}, с $sk_A$ секретное значение, уже известное Алисе.

Тогда она могла бы вычислить DH(IK_A, SPK_P), вычислив $(SPK_B)^{sk_A}$.

И Боб мог вычислить DH(IK_A, SPK_P), вычислив $(EK_A)^{sk_B}$.

Этот протокол безопасен в вычислительном предположении Диффи-Хеллмана:

https://en.wikipedia.org/wiki/Computational_Diffie%E2%80%93Hellman_assumption