<div dir="ltr">PANDA's an interesting use case for EKE2.<div><br></div><div><a href="https://pond.imperialviolet.org/tech.html">https://pond.imperialviolet.org/tech.html</a><br></div><div><a href="https://github.com/agl/pond/blob/master/papers/panda/panda.tex">https://github.com/agl/pond/blob/master/papers/panda/panda.tex</a><br>
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Mar 19, 2014 at 11:30 AM, Trevor Perrin <span dir="ltr"><<a href="mailto:trevp@trevp.net" target="_blank">trevp@trevp.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div><div>Hi,</div><div><br></div><div>One thing we could discuss is Elliptic Curve PAKEs (Password Authenticated Key Exchange).</div>
<div><br></div><div>There's some ideas worth exploring due to expiry of Lucent patents; developments such as SPAKE2, J-PAKE, and AugPAKE; and "hashing to curve" algorithms like SWU and Elligator [1,2].  For example, Mike Hamburg's ideas in [3] seem promising.</div>

<div><br></div><div>But are there good use cases to focus discussion?  Possibilities -</div><div><br></div><div> * PAKE for the web has been attempted in TLS (RFC 5054) with little interest from browsers or sites.  Partly this is a layering problem (username in clear, too early in the connection, and the TLS terminator is the wrong place for client auth).  But there are deeper UI problems:  browsers would have to display an unspoofable dialog; users would have to be trained to enter certain passwords only into this dialog; and sites would lose control of login UI.  Client auth for the web seems likely to evolve in other directions (e.g. password managers, 2-factor, federation).</div>

<div><br></div><div> * SSH already has J-PAKE which (I think?) is rarely used, though I'm not sure why.  If part of the reason is performance, is there room for improvement here?</div><div><br></div><div> * IEEE 802.11s I think has standardized on "Simultaneous Authentication of Equals" (aka Dragonfly) as an EC PAKE. I don't know if it's seen real deployment, nor do I understand the "mesh networking" scenario it's being used for, which seems different from just authenticating a client to an AP.  Anyone know more?</div>

<div><br></div><div> * There are smaller, more specialized uses of PAKE for protocols like online backups or device pairing.  E.g. I think Chrome is (using? investigating?) SPAKE2 for "chromoting", whatever that is.</div>

<div><br></div><div>Anyways, it's not clear that there are strong-enough use cases to motivate a good discussion and keep it on track.  Though I wish there were!  PAKEs are cool, it seems like they should be useful somewhere.</div>

<div><br></div><div>Other thoughts?</div><div><br></div><div><br></div><div>Trevor</div><div><br></div><div><br></div><div>[1] <a href="http://eprint.iacr.org/2009/340.pdf" target="_blank">http://eprint.iacr.org/2009/340.pdf</a></div>
<div>
[2] <a href="http://elligator.cr.yp.to" target="_blank">http://elligator.cr.yp.to</a></div><div>[3] <a href="http://www.ietf.org/mail-archive/web/cfrg/current/msg03840.html" target="_blank">http://www.ietf.org/mail-archive/web/cfrg/current/msg03840.html</a></div>

</div><div><br></div></div>
<br>_______________________________________________<br>
Curves mailing list<br>
<a href="mailto:Curves@moderncrypto.org">Curves@moderncrypto.org</a><br>
<a href="https://moderncrypto.org/mailman/listinfo/curves" target="_blank">https://moderncrypto.org/mailman/listinfo/curves</a><br>
<br></blockquote></div><br></div>