les failles de ce genre ne sont ni dans les clés ni dans l'algo, mais dans leur utilisation précise (chainage, padding, mécanismes de dérivation etc). du coup tout les clients tiers qui veulent participer au machin sont obligés d'implémenter les vulnérabilités, et ca marche même si "la clé est générée chez le client".