Voglio utilizzare PAKE per lo scambio di chiavi tra due parti (Alice e Bob) che condividono una bassa entropia segreto (una password scambiata su un pezzo di carta).
Alice e Roberto usano un software sul computer e accedono solo occasionalmente.
Alice dà la password a Bob su un foglio di carta, che Bob inserisce (a casa) nel software.
Ora, se usassi ad esempio J-PAKE , la password può essere verificata solo al round 2.
Il problema è che se BOB immette la password sbagliata perché fa un refuso, voglio dirglielo subito. La prossima volta che Alice accede potrebbe essere 24 ore o più tardi. Per motivi di facilità d'uso, dare a Bob un errore a quel punto è solo troppo tardi.
È ciò che voglio assolutamente? Forse con un diverso algoritmo PAKE?
Se la password fosse compromessa e non potesse essere più utilizzata in seguito, sarebbe un prezzo che sarei disposto a pagare.