ในการรับรองความถูกต้องคุณมักจะพบกับการพิสูจน์รหัสผ่านศูนย์ความรู้ (ZKPP) EAP นั้นเป็นกรอบทั่วไปและอาจเกี่ยวข้องกับการเปิดเผยตัวตนของลูกค้าเช่นถ่ายโอนไปยังชั้นถัดไปของการตรวจสอบเช่น RADIUS
PACE (BSI TR-03110) เป็นตัวอย่างหนึ่งของโปรโตคอล ZKPP ที่ใช้สำหรับการตรวจสอบสิทธิ์ EAP-SPEKE เป็นอีกเรื่องหนึ่ง
ความปลอดภัยของคีย์นั้นขึ้นอยู่กับการใช้งานเพียงบางส่วนของคีย์ในการแลกเปลี่ยนระหว่างไคลเอนต์และเซิร์ฟเวอร์ ไคลเอ็นต์มีการเข้ารหัสที่ไม่ได้เข้ารหัสด้วยคีย์ไปยังเซิร์ฟเวอร์ ดังนั้นเซิร์ฟเวอร์ rogue จะได้รับ nonce ที่เข้ารหัสและเก็บไว้ในเวอร์ชันธรรมดา นี่ไม่ใช่ความรู้ที่ไม่เป็นศูนย์เนื่องจากในเวลาที่ จำกัด เซิร์ฟเวอร์ rogue อาจรวบรวมข้อมูลเพียงพอที่จะทำลายการเข้ารหัส AES-128
ดังนั้น EAP-PSK อาจไม่ได้รับการพิจารณาเป็นตัวอย่างของการพิสูจน์รหัสผ่านที่ไม่มีความรู้ถึงศูนย์แม้ว่ารูปแบบการรับรองความถูกต้องอื่น ๆ ที่นำเสนอขึ้นอยู่กับ EAP เช่น EAP-SPEKE มีคุณสมบัตินี้
เพื่อแสดงให้เห็นถึงส่วนที่มีปัญหาของโปรโตคอล EAP-PSK พิจารณาการรับส่งข้อความตามที่แสดงใน RFC 4764
เซิร์ฟเวอร์ส่งข้อความแรกถึงเพื่อนถึง:
* Send a 16-byte random challenge (RAND_S). RAND_S was called RA
in Section 3.2
* State its identity (ID_S). ID_S was denoted by A in
Section 3.2.
o ข้อความที่สองถูกส่งโดยเพียร์ไปยังเซิร์ฟเวอร์เพื่อ:
* Send another 16-byte random challenge (RAND_P). RAND_P was
called RB in Section 3.2
* State its identity (ID_P). ID_P was denoted by B in
Section 3.2.
* Authenticate to the server by proving that it is able to
compute a particular MAC (MAC_P), which is a function of the
two challenges and AK:
MAC_P = CMAC-AES-128(AK, ID_P||ID_S||RAND_S||RAND_P)
o ข้อความที่สามถูกส่งโดยเซิร์ฟเวอร์ไปยังเพียร์ถึง:
* Authenticate to the peer by proving that it is able to compute
another MAC (MAC_S), which is a function of the peer's
challenge and AK:
MAC_S = CMAC-AES-128(AK, ID_S||RAND_P)
นี่ AK เป็นส่วนหนึ่งของรหัสลับที่ใช้ในขั้นตอนนี้และอาจถูกเปิดเผยต่อเซิร์ฟเวอร์โกงที่สามารถถอดรหัส AES-128 ได้