是否在TLS 1.3中添加了任何PAKE扩展？

Question

在TLS 1.2中，有TLS-SRP (RFC 5054 )，它提供了一个用于TLS的经过密码认证的密钥交换(派克)协议。然而，它显然依赖已从TLS 1.3中删除的握手消息，因此不适用于TLS 1.3。TLS 1.3仍然支持PSK-DHE握手，但它支持不提供PAKE属性，因为它允许离线蛮力攻击.似乎早在2018年就有了关于为TLS 1.3增加PAKE扩展部分的建议，但草案似乎已经过期了，我还没有看到它为什么被允许过期，也没有看到它是否有进一步的进展。

从那以后，有没有做过在TLS 1.3中添加PAKE支持的工作？是否有任何积极的建议？

Answer 1

从那以后，有没有做过在TLS 1.3中添加PAKE支持的工作？是否有任何积极的建议？

没有，什么也没有做，也没有有效的草案。

其中一个可能的原因(我不知道这是否是原因，听起来似乎是可信的)是，TLS工作组正在等待CFRG 1完成其对PAKEs的研究；CFRG基本上已经完成；如果您需要一个不对称的不透明 (服务器不需要知道，也不需要知道如何使用它)，那么2是不够的--他们需要建立一个RFC来解释如何使用它(以及如何避免各种微妙的陷阱)。

一旦CFRG建立了这样一个RFC，我希望在TLS中使用它的建议会被提交(当然，欢迎您提交这样的建议)。

1密码论坛研究小组；该小组的目的是向各IETF工作组提出密码学方面的建议

在对称情况下，2和胜利者将是CPACE；但是，在TLS中使用的可能性较小，因为它要求服务器拥有密码的副本。

Answer 2

自从发布这个问题后，我就意识到了在RFC 8492中定义的TLS，它使用了蜻蜓PAKE (RFC 7664)，并且确实定义了对Pre-1.3TLS和TLS1.3的支持。

不过，我目前(2021年1月)还没有看到TLS密码套件在通用TLS实现中的实现，因此就实践而言，波乔的回答似乎仍然是正确的。但是，我决定添加这个答案，以防在以后库实现TLS密码套件时可能会对某人有所帮助。

TLS密码套件以TLS-ECCPWD为前缀：

• TLS_ECCPWD_WITH_AES_128_GCM_SHA256
• TLS_ECCPWD_WITH_AES_256_GCM_SHA384
• TLS_ECCPWD_WITH_AES_128_CCM_SHA256
• TLS_ECCPWD_WITH_AES_256_CCM_SHA384