对于简单身份验证，SCRAM和PAKE (不透明)之间的实际区别是什么？

Question

据我所知，从关于快跑和不透明的文章中可以看出，维基百科将两者都归入了质疑-响应认证的范畴。

在我看来，SCRAM有一个IETF，而不透明的只有一个草稿。

然而，它们之间有什么实际区别呢？例如，两者都适合用于SASL机制吗？他们每个人都向对方泄露了什么？他们的长处和弱点是什么？

Answer 1

SCRAM的目标是确定两个端点是否共享一个共同的秘密。SCRAM通过让双方比较/交换\textrm{HMAC}(s,i)来实现这一点，其中s是秘密，i是计数器/当前。它有更多的东西，但这是主要的本质。如果s是一个高熵密码秘密，那么这很好:看到一些HMAC输出无助于窃听者/冒充者猜测其他HMAC输出。

但是如果共享的秘密像密码一样是低熵的，我会说SCRAM本身是不合适的。SCRAM交互的协议记录为窃听者提供了足够的信息，可以离线测试他们对s的猜测是否正确。因此SCRAM容易受到离线字典攻击。我的理解是，通常SCRAM是运行在一些加密的隧道内，以防止外部窃听者。但是，如果我是加密隧道的中间被动的人(如果我们已经对端点进行了身份验证，这似乎是合理的，因为SCRAM就不需要SCRAM了！)，我将从SCRAM记录中学到足够多的知识，从而允许离线字典攻击。

SCRAM只进行身份验证，但不透明是一个功能齐全的PAKE，它提供了更多的功能：

• 密钥协议:端点在窃听者在场的情况下建立密钥，如果他们的秘密匹配的话。请注意，SCRAM使用哈希函数(在HMAC中)作为其唯一的加密方法。仅靠哈希函数是不可能实现安全密钥协议的是人所共知。这一事实证明了为什么帕克人更昂贵/使用公开密钥密码技术。
• 专为低熵秘密设计的: PAKE必须抵抗对共享秘密的离线字典攻击.攻击者测试s猜测的唯一方法是与其中一方交互运行PAKE (在线字典攻击)。