PAKE比WPA2更安全吗？

Question

据我所知，在WPA2中，共享密钥(用于加密)来自密码，加上初始4路交换中使用的非key和标识。能够嗅到初始交换的攻击者可以对AP密码执行脱机字典攻击。

我还了解了一些PAKE协议，这些协议还可以从共享的低熵密码中获得密码密钥，但是能够抵抗离线字典攻击。

那么，WPA2和PAKE如何获得共享会话密钥之间有什么区别?如果PAKE抵抗离线字典攻击，为什么WIFI安全协议不使用PAKE呢？

Answer 1

能够嗅到初始交换的攻击者可以对AP密码执行脱机字典攻击。

这对WPA2来说确实是正确的。

为什么WIFI安全协议不使用PAKE？

我没有参与设计；我假设WPA2和更早的时候不使用PAKE，因为它被认为太昂贵了(无论是带宽还是计算成本)。

现在，使用WPA3，添加了蜻蜓，它确实试图成为对称的PAKE (对称意味着双方都需要保存密码)。

现在，蜻蜓并不完美；如果以明显的方式使用椭圆曲线来实现它(例如，从RFC复制算法)，它允许定时攻击，也就是说，攻击者可以根据该算法所用的时间推断出有关密码的一些信息。

虽然您可以编写一个没有此功能的实现(这需要更长的时间)，但您不能确定另一方是否受到类似的保护。我相信这是一个你真的想用MODP组代替的例子(它没有这种脚炮)。