<div dir="ltr"><div dir="ltr">Dear Jon,</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 22, 2019 at 2:22 AM Jon Callas <<a href="mailto:jon@callas.org">jon@callas.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>> On Feb 21, 2019, at 10:30 AM, Dmitry Belyavsky <<a href="mailto:beldmit@gmail.com" target="_blank">beldmit@gmail.com</a>> wrote:<br>> <br>> чт, 21 февр. 2019 г., 21:27 John Denker <<a href="mailto:jsd@av8n.com" target="_blank">jsd@av8n.com</a>>:<br>> On 2/21/19 2:48 AM, Dmitry Belyavsky wrote:<br>> <br>> > Could you please describe the spheres where PSK ciphersuites are used in<br>> > practice?<br>> <br>> You mean besides more-or-less every WPA wireless setup?<br>> <br>>  Does WPA use TLS? I mostly mean TLS context. Sorry for the lack of clarity. <br>
<br>I think this gets to the core of the issue. As John Denker points out, just about every WiFi setup in the world is using a single pre-shared key. You can get per-link keys, but you have to set up “Enterprise” WPA and do Radius and stuff like that. It’s much easier to have a PSK and go.<br>
<br>In contrast, TLS is *easy* to use with ephemeral(ish) keys; it’s the usual way we all do it. You *can* do TLS with PSKs, but it’s hard to set up. Thus, you rarely see PSK with TLS for the very same reason you usually see it with WPA.<br>
<br>Thus, I’m curious about what the question behind your question is. In TLS, it’s hard to set up PSKs, it’s not the normal user experience, and consequently it’s rare. If it were easy to use PSKs with TLS, we’d see it a lot. <br>
<br>       </blockquote><div>I suppose there are some places where PSK is necessary though bootstrapping it is still hard. For example, a lack of randomness for the normal TLS in IoT solutions can be such a place.</div><div>The other place I keep in mind is TLS 1.3, where the PSK mode, if I understand it correctly, is a part of session resumption and, if it is not available, we have to do the full handshake.</div><div><br></div><div>The real question is: if we make a PSK-less TLS profile, what problems do we get? What areas will suffer from such a limitation?</div><div><br></div><div>Thank you!</div></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature">SY, Dmitry Belyavsky</div></div>