<br><br><div class="gmail_quote">On Wed Dec 03 2014 at 4:51:53 PM Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Benjamin Kreuter <<a href="mailto:brk7bx@virginia.edu" target="_blank">brk7bx@virginia.edu</a>> writes:<br>
<br>
>So. What would it take to get<br>
><br>
>(1) scrypt/some other sequential-hard KDF<br>
><br>
>(2) a zero-knowledge challenge-response PAKE protocol<br>
><br>
>into UAs?<br>
<br>
If by "UAs" you mean "browsers" then the answer is "something on the order of<br>
divine intervention".  The browser vendors have to date shown themselves to be<br>
totally resistant to implementing anything that would threaten the CA business<br>
model, so it's unlikely that something like TLS-SRP or TLS-PSK will ever be<br>
supported.<br></blockquote><div><br></div><div>I think that's a completely unfair accusation - the difficulty has always been the lack of a _usable_ way to _securely_ implement such protocols.</div><div><br></div><div>And by "usable" I mean a user experience that is</div><div><br></div><div>a) satisfactory to the user.</div><div><br></div><div>b) satisfactory to the site operator.</div><div><br></div><div>c) possible to transition to from existing systems easily (for at least the user).</div><div><br></div><div>And it has to be secure - which includes "not allow credential theft _even by the site operator_".</div><div><br></div><div>This appears to be a tall order. But produce it, and I would certainly fight hard for implementation.</div><div><br></div><div>BTW, its not clear to me how either of these would remove the need for something with a CA-like role.</div><div><br></div><div>Also, the same difficulty is a barrier to PAKEs.</div><div><br></div></div>