Trong xác thực, bạn thường đi qua bằng chứng mật khẩu không có kiến thức (ZKPP). Bản thân EAP là một khung khá chung chung và nó có thể liên quan đến việc tiết lộ danh tính của máy khách để chuyển nó sang lớp xác thực tiếp theo như RADIUS.
PACE (BSI TR-03110) là một ví dụ về giao thức ZKPP được sử dụng để xác thực. EAP-NÓI là một cái khác.
Tính bảo mật của khóa phụ thuộc vào việc chỉ sử dụng các phần của khóa trong quá trình trao đổi giữa máy khách và máy chủ. Máy khách cung cấp mã hóa nonce với khóa cho máy chủ. Do đó, một máy chủ giả mạo nhận được một nonce được mã hóa và giữ phiên bản văn bản gốc của nó. Đây không phải là kiến thức không, vì trong một thời gian hữu hạn, một máy chủ lừa đảo có thể tích lũy đủ thông tin để phá vỡ mã hóa AES-128.
Do đó, EAP-PSK có thể không được coi là một ví dụ về chứng minh mật khẩu không có kiến thức, mặc dù các lược đồ xác thực được đề xuất khác dựa trên EAP như EAP-SPEKE có thuộc tính này.
Để minh họa phần có vấn đề của giao thức EAP-PSK, hãy xem xét luồng thông báo như được trình bày trong RFC 4764.
Tin nhắn đầu tiên được gửi bởi máy chủ tới máy ngang hàng:
* Send a 16-byte random challenge (RAND_S). RAND_S was called RA
in Section 3.2
* State its identity (ID_S). ID_S was denoted by A in
Section 3.2.
o Tin nhắn thứ hai được gửi bởi máy ngang hàng đến máy chủ tới:
* Send another 16-byte random challenge (RAND_P). RAND_P was
called RB in Section 3.2
* State its identity (ID_P). ID_P was denoted by B in
Section 3.2.
* Authenticate to the server by proving that it is able to
compute a particular MAC (MAC_P), which is a function of the
two challenges and AK:
MAC_P = CMAC-AES-128(AK, ID_P||ID_S||RAND_S||RAND_P)
o Tin nhắn thứ ba được máy chủ gửi đến máy ngang hàng tới:
* Authenticate to the peer by proving that it is able to compute
another MAC (MAC_S), which is a function of the peer's
challenge and AK:
MAC_S = CMAC-AES-128(AK, ID_S||RAND_P)
Ở đây AK là một phần của khóa bí mật được sử dụng ở giai đoạn này và có thể được tiết lộ cho máy chủ lừa đảo có khả năng giải mã AES-128.