Utok ktery popisujete znamy neni, byl by ohromnou dirou do protokolu a jednoduchou uvahou lze zjistit proc: muzeme predpokladat, ze vypocty, ktere probihaji na klientech nejsou nijak CPU narocne. Vy navrhujete odposlechem mnoha klientu (rekneme treba milionu) odhalit klice kohokoli dalsiho. Jenze to by znamenalo, ze ja ty klienty odposlouchavat nemusim, klidne si tech milion jednoduchych vypoctu provedu u sebe (v radu hodin max dni treba) a mam prolomen cely protokol.Ten protokol ma tu vlastnost, ze pro dane p, q, A, B je velmi narocne spocitat zbytek. Neni to nemozne, ale stoji to spoustu casu a penez. Nicmene to lze udelat tak, ze drtiva vetsina vypoctu zavisi jen na p,q (tech je jen par) a NSA to nejspis opravdu predpocitala. Takze ted kdyz pri spojeni vidi konkretni A,B (tech je porad mnoho), tak rychle rozlouskne zbytek.Kazdopadne porad plati, ze i kdyz vyresim spoustu dvojic A,B, tak mi to nepomuze u dalsich, pokud jsem neudelal ty predvypocty pro dane p,q.