Вы путаете теоретическую криптографию и практическую. В теоретической при P=NP теряется стойкость многих шифров, потому что там она оценивается относительно некоторого n. В практической криптографии n=const и ни о какой вычислительной стойкости в том понимании вообще речи не идёт. И здесь вполне может получиться так, что для некоторого n алгоритм со сложностью O(e^n) будет быстрее, чем O(n^8).
Информационная система наверняка разразабывается не ненависимо от остальных частей организации. Если вы хотите решать задачу независимо от юридического отдела, вы очень сильно усложняете себе жизнь. Это как если бы за каждую дверь в здании отвечал отдельный человек, и каждый решал бы задачу охраны независимо от других — вам пришлось бы носить толстую пачку смарт-карт и каждый раз перед каждой дверью искать нужную.
Поэтому в вашем случае куда эффективнее решать задачу с помощью изменения договора и регламентирования процедур уведомления о смене идентификационной информации.
В договорах обычно пишут о том, что человек должен уведомить организацию обо всех изменениях контактных данных. Одна строчка, и проблемы становятся уже проблемами человека, а не организации.
Сначала можно прослушивать канал, узнать сессионный ключ, а также сообщения {Ns}Kcs, {K'cs}Kcs. После чего, при следующей попылке создения соединения, стать человеком посередине и отправить клиенту не новый {Ns}Kcs от сервера, а старый. После этого клиент отправит нам {K'cs}Kcs и у нас опять тот же самый сессионный ключ, читаем-пишем что хотим.
Поэтому в вашем случае куда эффективнее решать задачу с помощью изменения договора и регламентирования процедур уведомления о смене идентификационной информации.