兩人房號均為1到9之間的數碼，不知道對方房號。如何在雙方都不暴露自己房號的情況下判斷和對方是否相鄰？

用來判斷是否相鄰的大體流程如下。

初始化：

Alice持有房間號u，Bob持有房間號w。雙方合議好一套SPAKE參數，如上圖中的 \mathbb{G}, g, p, M, N, H()

開始計算：

1. 根據酒店形態，Alice計算u-1,u+1。 具體來說，如果是環形酒店，總房間數是N，則計算u-1 mod N, u+1 mod N，再對映到PAKE所需要的群中。其他情況只需要把u-1, u+1對映到PAKE所需要的群中即可。
2. Alice以u-1, u+1作為password, Bob以w為password，跑兩輪PAKE(即每輪使用的輔助隨機量不同)。協定執行過程中，Alice會 隨機置換使用u-1,u+1的次序 ，即Alice有可能在第一圈使用u-1, 第二輪用u+1，或者在第一圈使用u-1, 第二輪使用u+1。Alice得到兩把會話金鑰 sk_{A,1},\ sk_{A,2} ，Bob得到兩把會話金鑰 sk_{B,1}, sk_{B,2} .
3. Alice將兩把會話金鑰 sk_{A,1},\ sk_{A,2} 分別用來加密0字串，得到兩個密文 C_{A,1}, C_{A,2} ，都發送給Bob，此時可以再次 隨機置換密文次序 。Bob用自己的兩把會話金鑰嘗試解密 C_{A,1},\ C_{A,2} ，如果能解出0字串，則Bob知道Alice住在和自己相鄰的

正確性：

顯然，只有當Bob的房號w=u-1或者w=u+1的時候，密文才能被正確解密。

如果Bob的房號不與Alice相鄰，兩把金鑰都不對，直接解密無法解出正確結果。

(偽)安全性定理：由於PAKE是安全的，加密方案也是安全的，且進行了隨機置換，所以Bob無法得到Alice的房號。

============分割線，請停下來思考一下安全性=========================

目前看來一切似乎沒問題， 如果Bob單看密文和解密結果，由於次序置換，Bob是無法判斷Alice到底是住在w+1還是w-1號房的。

可惜的是，Bob在此可以離線窮舉出u-1,u+1。

還是以SPAKE為例， 假設Alice第一圈PAKE中傳過來的是 X^* = g^{x_1}\cdot M^{u*} 。 由於Bob知道 y^1 ,它可以分別計算 \begin{align} K_{B-} &= (X^*/M^{w-1})^{y_1}\\ K_{B} &= (X^*/M^{w})^{y_1}\\ K_{B+} &= (X^*/M^{w+1})^{y_1} \end{align} ,然後計算對應的 sk_{B-,1}, sk_{B,1}, sk_{B+,1} 。用它們來解密Alice後續傳過來的密文，只要能解密成功，比如用 sk_{B-,1} 解出了0字串, 則可以的得到u*= w-1. 類似可以得到另一個關系，比如u** = w+1。如果偏序關系是嚴格的，且N<群的大小，則可以由這兩個方程式唯一確定u的值。比如得到一個房號u*是3，一個u**是5，房號最大是9，群大小是11，那麽肯定可以得到u是4。

更嚴重的是，即使與Alice不相鄰，在猜測空間足夠小(比如題目中的0-9)，類似的方法也可以讓Bob離線窮舉出u+1, u-1，從而找出u。

不安全的深層原因

由於Bob 比針對PAKE的攻擊者強大（ 即超出安全性定義範圍 ） ，PAKE的正確性和基於密文的「相等判斷相鄰」讓Bob有了攻擊的可能。Bob同時持有了 參與計算的輔助隨機量 ，且會話金鑰被 使用 了，已然超出了PAKE所能保證的安全範圍（考慮文章開始對PAKE安全性的歸納中的「除非會話金鑰被使用...」，也請見參考文獻 ^[1] 中對攻擊者的限制）。所以，當password空間有限，且有使用會話金鑰做操作的參照物時，無法保證協定參與對方的password仍然安全。