Protokół Boyda – Nieto (BN) jest protokołem GKA, który działa w jednej rundzie, a zatem jest wydajny obliczeniowo. Protokół jest cytowany z [9] w następujący sposób: Niech U oznacza zbiór n użytkowników U1, U2,. . ., Un i N1, N2,. . ., Nn oznaczają ich odpowiednie wartości nonce, a K(1), K(2),. . ., K(n) oznaczają ich odpowiednie klucze publiczne. U1 ma wyznaczoną rolę kontrolera grupy. Sd(i)(X) reprezentuje podpis nad X przy użyciu klucza d(i). Wszystkie wiadomości są nadawane.
- U1 → *: U, Sd(1) [U, {N1} K(2), {N1} K(3),. . . , {N1} K(n)]
- U1 → *: {N1} K(i) dla 2 ≤ i ≤ n
- Ui → *: Ui, Ni
Klucz grupy to KU = h (N1 || N2 || N3 ||.. || Nn), gdzie h jest publiczną jednokierunkową funkcją skrótu. Utajnienie klucza sesji zależy tylko od tajności N1. Naruszenie klucza prywatnego dowolnego użytkownika innego niż U1 ujawniłoby klucz sesji, ponieważ N1 jest zaszyfrowany kluczami publicznymi uczestników z wyjątkiem U1. W związku z tym protokół nie spełnia częściowej tajemnicy przekazywania. Jeśli istnieje prawdopodobieństwo pn, że tajny N1 zostanie przejęty, to DPFS będzie miał wartość pn. Jeśli pn jest bardzo niskie, z powodu czynników zewnętrznych, takich jak kwestie polityki, które uniemożliwiają kontrolerowi grupy stanie się nieszczelnym uczestnikiem, wówczas klucze prywatne innych uczestników staną się wrażliwymi punktami, które należy wziąć pod uwagę. Załóżmy, że penetrator zna klucz prywatny dowolnego uczestnika innego niż kontroler grupy, K(i)−1, z prawdopodobieństwem p. Wtedy penetrator może wydedukować nonce N1 z prawdopodobieństwem p. Ponieważ jest n – 1 takich przypadków, a znajomość przynajmniej jednego Ki −1 ujawniłaby N1, prawdopodobieństwo poznania klucza sesji wynosi 1− (1 – p)n−1. DPFS protokołu BN to min [1− (1 – p)n − 1, pn].