На самом деле C или C` не аутентифицируются таким образом, что с этого момента S может доверять данным, которые кажутся исходящими от C или C' в общем смысле. Если бы это было правдой, S доверял бы любой незашифрованной информации, не прошедшей проверку подлинности, которая, по-видимому, была отправлена от C к S. Это явно было бы подвержено атаке «человек посередине», которая просто ждала завершения начальных шагов запрос-ответ. прежде чем вмешиваться в передаваемую информацию.
Что на самом деле происходит в безопасном протоколе, так это то, что C и S взаимно аутентифицируются как часть процесса установления симметричного сеансового ключа, который они оба затем используют для связи с использованием аутентифицированного симметричного шифрования. Это то, что доказывает, что они действительно все еще разговаривают друг с другом, а не атакующий человек посередине.
Если вы не заботитесь о наличии симметричного ключа для сеанса, чтобы обеспечить прямую секретность, и если обе стороны поддерживают долгосрочный счетчик (для предотвращения повторных атак), то, если у вас есть предварительно общий симметричный ключ, вы можете просто перейдите непосредственно к общению с помощью аутентифицированного шифрования (которое использует и увеличивает счетчик с каждым отправленным сообщением) без необходимости выполнения шагов запроса-ответа, которые вы описали в своем вопросе.