<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Nov 15, 2016 at 2:08 AM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Given the hardware necessary to do that, wouldn't it be easier, more efficient, and less likely to leak identity information to use it to implement a password-authenticated key agreement protocol like SRP?</blockquote><div><br></div><div>Note there are many other modern PAKE algorithms based on ECC which are much easier to implement in constant time than SRP, as the latter generally relies on bignums. SPAKE2(+) and SPAKE2-EE come to mind.</div></div><div><br></div><div>That said, I think there are few use cases where PAKE actually makes sense, particularly for UX reasons. I do not think it makes sense to use PAKE in a browser context. The only way I think it could work securely is with something like the reviled Basic Auth modal dialog, which to me is a UX antipattern which has largely been phased out of the modern web.</div><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tony Arcieri<br></div>
</div></div>