Tls

TLS 1.3 中是否添加了任何 PAKE 擴展?

  • February 1, 2021

在 TLS 1.2 中,有TLS-SRP ( RFC 5054 ),它提供了用於 TLS 的密碼驗證密鑰交換 ( PAKE ) 協議。但是,它顯然依賴於已從 TLS 1.3 中刪除的握手消息,因此不適用於 TLS 1.3。TLS 1.3 仍然支持 PSK-DHE 握手,但它不提供 PAKE 屬性,因為它允許離線暴力攻擊。似乎早在 2018 年就有提議為 TLS 1.3 添加 PAKE 擴展,但草案似乎已經過期,我還沒有看到為什麼它被允許過期或者是否有任何進一步的結果。

從那以後有沒有做任何事情來為 TLS 1.3 添加 PAKE 支持?有沒有積極的提案?

從那以後有沒有做任何事情來為 TLS 1.3 添加 PAKE 支持?有沒有積極的提案?

不,什麼都沒做,也沒有有效的草稿。

造成這種情況的一個可能原因(我不知道這是否是原因;這對我來說聽起來很合理)是 TLS 工作組正在等待 CFRG

$$ 1 $$完成對 PAKE 的研究;CFRG 大部分已完成;如果您需要非對稱 PAKE,他們已選擇OPAQUE作為建議(伺服器不需要知道,這符合 TLS 的使用方式)$$ 2 $$,但是僅僅選擇獲勝者是不夠的——他們需要組合一個 RFC 來準確解釋如何使用它(以及如何避免各種微妙的陷阱)。 一旦 CFRG 整理了這樣的 RFC,我希望在 TLS 中使用它的提案將被送出(當然,歡迎您送出這樣的提案)

$$ 1 $$加密論壇研究組;這是一個小組,其目的是向 IETF 的各個工作組提出有關密碼學的建議 $$ 2 $$對稱情況下的贏家將是 CPACE;但是這不太可能在 TLS 中使用,因為它要求伺服器擁有密碼的副本

引用自:https://crypto.stackexchange.com/questions/87864