在消息中使用的握手消息的“散列”中，是使用PRFFinished计算的，它使用主密钥作为附加参数（在SSL 3.0中计算不同，但仍使用主密钥；36 字节值是一种具有 MD5 和 SHA-1 的 HMAC）。如果攻击者更改了之前的握手消息之一，那么他必须能够相应地修复第一条消息。该消息是第一个被加密的消息。Finished

结果是，即使加密系统非常脆弱，如果攻击者想要简单地了解Finished消息内容，就必须能够在不知道明文的情况下破解它。这必须是在线中断，这意味着他的任何失败都意味着不可能完成握手。因此，即使是 40 位加密也能非常有效地阻止此类攻击。

尽管如此，让我们假设由于某种原因，加密层对攻击者是完全透明的（例如密码套件是TLS_RSA_WITH_NULL_SHA，根本没有加密）。我们的攻击者仍然面临两个巨大的挑战：

1. MAC 是 HMAC（或 SSL 3.0 中的 HMAC 类型），即使使用 MD5 作为基本函数，也没有已知的攻击（参见this，然后that）。做一个基线，有一个已知的使用 MD4 对 HMAC 的伪造攻击，但即使是那个仍然非常昂贵，因此只是理论上的。

2. PRF 本身基于大量 HMAC，因此攻击者将很难计算其修改后的Finished. 仅仅对 HMAC 进行伪造攻击是不够的；他必须能够恢复密钥（主密钥）。

值得注意的是，在 TLS 中，Finished消息长度为 12 个字节（SSL 3.0 为 36 个字节），而主密钥长度为 48 个字节。这意味着从第一条Finished消息中恢复完整的主密钥在数学上是不可能的，无论 PRF 有多弱。

为了能够破坏握手完整性，我们必须假设 PRF 与自身之间的交互非常奇怪，因为 PRF 用于计算应用于 PRF 生成的Finished内容的加密和 MAC 密钥。这看起来不可信。或者，突破密钥交换机制本身。密钥交换（RSA、DH...）看起来是唯一不荒谬的攻击路径（据我们所知）。