问是否存在一个在eCK模型中是安全的并且也有PFS的双通AKE协议？

EN

可以在两条消息中实现针对活动对手的PFS。你提到的“我们知道的”是不正确的；这一误解似乎源于对克劳奇克2005年HMQV纸结果的过度解读。充其量，这个论点似乎来自交换g^x，g^y形式消息的协议，其中x和y是随机值:对于这些协议，您似乎无法通过Krawczyk的示例攻击实现针对活动对手的PFS。然而，他的论点在一般情况下并不会违反两条消息协议(例如，交换不同形式的消息)。

这一误解在Cremers和Feltz引入的本论文中得到了详细的解释，其中还包括一个完整的安全模型和( a)双消息协议的详细证明，该协议实现了一种形式的安全，这意味着eCK-安全性和针对主动对手的PFS。

有一个较早的协议(由Gennaro、Krawczyk和Rabin)在两条消息中实现针对活动对手的PFS，并且还进行了隐式身份验证，但这并不能实现e安全:它是在本论文末尾描述的基于PKI的变体。

eCK安全变体的第一个描述是这里。

因此，是的，这是可能的。