প্রমাণীকরণে আপনি প্রায়শই শূন্য-জ্ঞানের পাসওয়ার্ড প্রমাণ (জেডকেপিপি) আসেন come ইএপি নিজেই একটি বরং জেনেরিক কাঠামো এবং এটি ক্লায়েন্টের পরিচয় প্রকাশের সাথে জড়িত থাকতে পারে যেমন এটি রেডিয়াসের মতো প্রমাণীকরণের পরবর্তী স্তরে স্থানান্তর করতে।
PACE (BSI TR-03110) প্রমাণীকরণের জন্য ব্যবহৃত ZKPP প্রোটোকলের একটি উদাহরণ। EAP-SPEKE আরেকটি।
কীটির সুরক্ষা ক্লায়েন্ট এবং সার্ভারের মধ্যে বিনিময়ে কীটির কেবলমাত্র অংশগুলির ব্যবহারের উপর নির্ভর করে। ক্লায়েন্ট সার্ভারের চাবি দিয়ে একটি ননস এনক্রিপ্ট করা অফার করে। অতএব একটি দুর্বৃত্ত সার্ভার একটি এনক্রিপ্টড ননস গ্রহণ করে এবং এর প্লেইনেক্সট সংস্করণ ধারণ করে। এটি শূন্য-জ্ঞান নয়, যেহেতু একটি সীমাবদ্ধ সময়ে একটি দুর্বৃত্ত সার্ভার AES-128 এনক্রিপশন ভাঙ্গার জন্য পর্যাপ্ত তথ্য সংগ্রহ করতে পারে।
সুতরাং ইএপি-পিএসকে শূন্য-জ্ঞানের পাসওয়ার্ড প্রমাণের উদাহরণ হিসাবে বিবেচনা করা যাবে না, যদিও ইএপি-স্পেকের মতো ইএপি ভিত্তিক অন্যান্য প্রস্তাবিত প্রমাণীকরণ প্রকল্পগুলির এই সম্পত্তি রয়েছে।
ইএপি-পিএসকে প্রোটোকলের সমস্যাযুক্ত অংশটি চিত্রিত করতে আরএফসি 4764 তে উপস্থাপিত বার্তা প্রবাহকে বিবেচনা করুন।
প্রথম বার্তাটি পিয়ারকে সার্ভারের মাধ্যমে প্রেরণ করা হয়েছে:
* Send a 16-byte random challenge (RAND_S). RAND_S was called RA
in Section 3.2
* State its identity (ID_S). ID_S was denoted by A in
Section 3.2.
o দ্বিতীয় বার্তাটি পিয়ারের মাধ্যমে সার্ভারে প্রেরণ করা হয়েছে:
* Send another 16-byte random challenge (RAND_P). RAND_P was
called RB in Section 3.2
* State its identity (ID_P). ID_P was denoted by B in
Section 3.2.
* Authenticate to the server by proving that it is able to
compute a particular MAC (MAC_P), which is a function of the
two challenges and AK:
MAC_P = CMAC-AES-128(AK, ID_P||ID_S||RAND_S||RAND_P)
o তৃতীয় বার্তাটি পিয়ারকে সার্ভারের মাধ্যমে প্রেরণ করা হয়েছে:
* Authenticate to the peer by proving that it is able to compute
another MAC (MAC_S), which is a function of the peer's
challenge and AK:
MAC_S = CMAC-AES-128(AK, ID_S||RAND_P)
এখানে একে গোপন কীটির একটি অংশ যা এই পর্যায়ে ব্যবহৃত হয় এবং এটি দুর্বৃত্ত সার্ভারে প্রকাশিত হতে পারে যা AES-128 ডিক্রিপ্ট করতে সক্ষম।