是否所有PAKE都假定所有各方都已经有了密码？

Question

我在寻找一种不依赖PKI进行密钥交换的方法。在阅读杰-帕凯之后，我发现了密码认证密钥交换(PAKE)；我有以下问题：

1. PAKE是否假设参与方已经有了一个共享的消息？
2. 在message中，他们使用Diffie-Hellman密钥协议的扩展来建立共享消息.然而，我不明白他们是如何防止中间人攻击的。
3. 一般来说，PAKE是如何防止中间人攻击的？

Answer 1

1. PAKE是否假设参与方已经有了一个共享的消息？

有的人知道，有的人不知道。一般来说，帕克有两种口味:平衡(双方都知道密码)和增广(只有一方知道密码；另一方知道足够多的密码)。

J-PAKE是一个平衡的PAKE.

1. 在message中，他们使用Diffie-Hellman密钥协议的扩展来建立共享消息.然而，我不明白他们是如何防止中间人攻击的。

彻底审查这件事需要经过一组案件；然而，这里有一个简单的例子:每一方都希望(在连续的消息中)收到关于x_2和x_2 \cdot S (或x_4和x_4 \cdot S)的知识证明；MITM不能同时伪造这两种情况(不知道S)，因此必须不加篡改地转发这些信息。对手是限制他们篡改x_1和x_3；我们可以证明，这也没有给他一个优势。

一般来说，PAKE是如何防止中间人攻击的？

那么，对于所有PAKEs，如果攻击者对密码有正确的猜测，他们可以进行MITM攻击或模拟攻击(因为密码确实是协议必须执行身份验证的唯一方式，所以我们不能做得更好)。PAKE试图做的是确保攻击者每次尝试只能测试一个密码( MITM或模拟密码)；如果他想测试10个密码，他需要与合法方进行10次交互(例如，MITM 10次单独的交换)。

当然，他们对此的看法各不相同。OPAQUE在很大程度上依赖于其知识证明；EKE加密Diffie-Hellman密钥共享(因此MITM需要猜测特定密码才能正常工作)；CPACE使用与密码相关的DH基值(同样，您需要猜测特定密码才能工作)；不透明的客户端和服务器根据客户端和服务器为客户端和服务器重新导出恢复私有签名值所需的密钥所需的秘密进行多方计算(并且多方计算消息在MITM看来完全随机)。

你学习PAKEs很好，只要意识到其他帕克人的工作方式就会不同.