關於 DH-EKE 和 ECDHE_PSK（PSK 與密碼）

我目前正在查看 J-PAKE ，因此了解 Authenticated Key Exchange：

Reading 2.2.2 EKE from this paper https://people.kth.se/~maguire/Erik_Ehrlund_Literature_Study_report_v1.2.pdf

我了解使用驗證 DH 握手的密碼。

問題是 ：

基於 PSK 的 TLS DH 密碼套件是否以與使用密碼進行身份驗證的 DH 交換相同的方式進行身份驗證？

考慮到弱密碼，熵是 PSK 的問題嗎？

假設您實際上是在詢問（高熵）預共享密鑰（PSK）和（低熵）預共享密碼之間的 TLS 是否存在差異，簡短的回答是：

不。

然而，長答案有點複雜。

TLS-PSK 密碼套件本身並不區分不同程度的熵。然而，有一些 TLS-SRP 密碼套件，使用安全遠端密碼協議 - 一種密碼驗證密鑰交換 (PAKE) 協議。它們實際上有一些很好的屬性，只有當你可以假設 PSK 是低熵時才會變得有趣。

熵對 TLS-PSK 重要嗎？

是的，它確實。

如果您使用TLS_PSK_...密碼套件，您實際上使用 PSK 作為會話密鑰的基礎，這意味著該密鑰容易受到離線暴力攻擊。但是，您似乎想使用TLS_ECDHE_PSK_...更難攻擊的密碼套件。如果不破壞 ECDH 密鑰交換並了解 PSK，您就無法派生會話密鑰。因此，在握手完成後獲取傳輸的內容不存在微不足道的被動攻擊。然而，主動攻擊是很有可能的，因為您可以將自己安裝為中間人（對 DH 的標準攻擊），並嘗試通過嘗試 PSK 的不同可能值來模擬其他客戶端。如果 PSK 具有高熵，這是不可行的，但如果 PSK 具有低熵，則很有可能。

引用自：https://crypto.stackexchange.com/questions/26764