Белловин (Bellovin) и Мерритт (Merritt) предложили улучшение запросно-ответной части алгоритма, которое позволяет избежать возможного вскрытия при обнаружении криптоаналитиком ста рого значения К.
На базовый протокол ЕКЕ. На этапе (3) Алиса генерирует другое случайное число SA и посылает Бобу
Ek(Ra, Sa)
На этапе (4), Боб генерирует другое случайное число SB и посылает Алисе
Ek(Ra„Rb,Sb)
Теперь Алиса и Боб могут вычислить истинный сеансовый ключ, SA © SB. Этот ключ в дальнейшем используется для сообщений, которыми обмениваются Алиса и Боб, К используется в качестве ключа обмена ключами.
Посмотрим на уровни защиты, предоставляемые ЕКЕ. Восстановленное значение S не дает Еве никакой информации о Р, так как Р никогда не используется для шифрования чего-то такого, что ведет непосредственно к S. Криптоаналитическое вскрытие К также невозможно, К используется только для шифрования случайных данных, a S никогда не шифруется отдельно.