Protokół BW (Octopus) jest protokołem opartym na DH. Uczestnicy są podzieleni na cztery grupy I(A), I(B), I(C) i I(D) z A, B, C i D jako liderami grup. W pierwszej rundzie A, B, C i D dokonują wymiany kluczy DH z każdym z odpowiednich członków grupy. Członek grupy P (i), w wyniku którego otrzymano klucz k(i). W drugiej rundzie A dokonuje wymiany klucza DH z B, w wyniku czego klucz αK[I(A)UI(B)] . Podobnie C dokonuje wymiany klucza DH z D. Następnie obliczany jest klucz grupy. Prawdopodobieństwo, że intruz zna klucz sesji i DPFS zostało obliczone wcześniej jako1- (1-p((n-4)/4))4. Wywnioskowaliśmy, że w tym protokole klucze wszystkich członków podgrupy muszą być znane z tego, że mogą naruszać klucz sesji. W takim protokole możliwe są złośliwe ataki grupowe. Tutaj liczba rund jest duża, ponieważ chociaż są tylko trzy logiczne rundy, pierwsza runda składa się z nl4 sekwencyjnych wymian DH dla liderów grup. Dlatego też ułatwienie częstego obliczania kluczy nie jest możliwe przy przyjęciu tego protokołu. Liczbę rund można policzyć jako nl4 + 2. Jednak siła zaufania jest bardzo wysoka. Gdyby wszyscy uczestnicy z wyjątkiem jednego mieli 100% wskaźnik zaufania, prawdopodobieństwo utraty klucza sesji wyniosłoby 0, co daje GTS = 100. Tak więc T zazwyczaj byłoby większe niż 1 w obecności nieszczelnego uczestnika. Ze względu na wysokie |x|, aplikacje do spotkań konferencyjnych i tablice interaktywne nie uznałyby za odpowiednie do korzystania z tego protokołu. Jednak w przypadku czasopisma prenumerowanego BW jest zalecane z dwóch powodów. Obliczanie kluczy nie musi być częste, więc można tolerować liczbę rund dla obliczenia klucza. Ponadto siła zaufania jest wysoka, co wskazuje, że protokół jest silny również w obliczu członków o niskim poziomie zaufania. Podstawową przyczyną dużej siły zaufania jest to, że co najmniej n/4 członków musi zostać skompromitowanych, aby złamać klucz sesji. Biorąc pod uwagę te dwa aspekty, BW jest zalecanym protokołem dla subskrybowanego czasopisma.