為什麼 IKEv2 中的密鑰派生不涉及預共享密鑰？

在IKEv1 (RFC 2409) 中，預共享密鑰涉及密鑰派生，而IKEv2 (RFC 7296) 僅將其用於身份驗證。當我們考慮後量子安全性時，如果預共享密鑰具有足夠的熵，則此屬性使 IKEv1 適合。因此，在（RFC 8784）中提出了 IKEv2 的後量子擴展，這基本上是在 IKEv2 中已經提供的身份驗證方法之外，添加了一個在發起者和響應者之間共享的附加秘密。

為什麼 IKEv2 中的密鑰派生不涉及預共享密鑰？在 IKEv1 中使用它有什麼缺點嗎？

在 IKEv1 中使用它有什麼缺點嗎？

好吧，有幾件事；最明顯的是確定談判失敗的原因。

如果兩個 IKEv1 實現嘗試與不同的 PSK 協商會發生什麼？發生的事情是他們派生了不同的密鑰，因此它會失敗 - 沒有跡象表明失敗原因是預共享密鑰不同（而不是說，DH 操作出於某種原因得出了不同的值）。

雖然不匹配的 PSK 是無法解密初始消息的最常見原因，但它並不是唯一的原因。因此，IKEv2 重新設計了 PSK 的使用方式，以明確協商失敗的原因。

引用自：https://crypto.stackexchange.com/questions/91931