Доказательство безопасности для TLS 1.x

В JKSS12, дается доказательство рукопожатия в TLS-DHE 1.2, предполагая (среди прочего) гипотезу PRF-ODH о PRF, используемой для получения ключей.

Также утверждается, что если TLS 1.2 будет изменен, чтобы более точно следовать $\Сигма_0$ протокол Канетти-Кравчика; этот протокол может быть доказуемо безопасным при (более слабом) предположении DDH вместо предположения PRF-ODH (как в случае с протоколом IKE). Эта модификация кажется довольно простой, хотя на момент публикации этой публикации ее было невозможно развернуть.

Совсем недавно, что касается TLS 1.3, существующие доказательства все еще находятся в рамках гипотезы PRF-ODH (см., Например, это Тезис из Доулинга, стр. 153).

Каково было обоснование TLS 1.3 и почему переход к $\Сигма_0$-подобные протоколы не были составлены, как это было предложено в JKSS12 ? Гипотеза DDH кажется более удовлетворительной, чем (более сильное) предположение PRF-ODH, даже если только для «общего основания безопасности» между TLS и IKE. Мой интерес в основном касается TLS с эфемерным DH.