Felhúzok egy titkosított csatornát találomra, majd tesztelem valamelyik ismert tulajdonságát olyan módon, hogy a kulcsok eltérése esetén a teszt eltörjön.
Szerinted, ez nem in-band azonosítás, mert hogy a tesztelendő tulajdonságot előre ismernem kellett. De: Ezt a gondolatmenetet folytatva, ha valakit azonosítani akarok, akkor egy külső csatornához kell folyamodnom. Ennek a külső csatornának viszont nem tudom garantálni a biztonságát, hiszen akkor azt ennek a csatornának a szempontjából nézve in-band garantálnám. Vagyis ha in-band nem tudom garantálni valaminek a biztonságát, akkor out-of-band sem, következésképp biztonságos kulcscsere nem létezik. Sem in-band, sem out-of-band.
Erre a következtetésre csak akkor nem jutunk el, ha bizonyos csatornákat (pl. személyes találkozás) eleve, alapvetésként biztonságosnak fogadunk el, vagy bizonyos adatokat eleve, alapvetésként ismertnek tekintünk (pl. a személy neve). Ezeknek a csatornáknak vagy adatoknak a megválasztása viszont merőben önkényes. Ha ugyanis semmit nem tudok a partneremről, akkor nem látom be miért lenne biztonságosabb egy személyes találkozó egy élő videóhívásnál. Ha pedig valamit ismertnek tekintek, ami lehet a személy neve, nem látom be miért ne lehetne ez az ismert adat a neve helyett a személy GPG-kulcsa.
Konklúzióként két eredményre juthatunk:
a) Ha semmilyen adatot és csatornát nem tekintünk eleve adottnak, akkor arra, hogy biztonság nem létezik sem in-band sem out-of-band.
b) Ha valamilyen adatot (vagy csatornát) eleve biztosítottnak tekintünk akkor pedig ennek az adatnak a mibenlététől függően valamilyen csatornán, (vagy a biztonságosnak tekintett csatornán) pedig lehetséges in-band azonosítani.