प्रमाणीकरण में आप अक्सर शून्य-ज्ञान पासवर्ड प्रमाण (ZKPP) पर आते हैं। EAP अपने आप में एक सामान्य ढाँचा है और इसमें ग्राहक की पहचान का उदाहरण देना शामिल हो सकता है ताकि इसे प्रमाणीकरण की अगली परत जैसे कि RADIUS में स्थानांतरित किया जा सके।
PACE (BSI TR-03110) प्रमाणीकरण के लिए उपयोग किए जाने वाले ZKPP प्रोटोकॉल का एक उदाहरण है। EAP-SPEKE एक और है।
कुंजी की सुरक्षा क्लाइंट और सर्वर के बीच विनिमय में कुंजी के केवल हिस्सों के उपयोग पर निर्भर करती है। क्लाइंट सर्वर के लिए कुंजी के साथ एन्क्रिप्टेड एक गैर प्रदान करता है। इसलिए एक दुष्ट सर्वर एक एन्क्रिप्टेड नॉन को प्राप्त करता है और अपना प्लेनटेक्स्ट संस्करण रखता है। यह शून्य-ज्ञान नहीं है, क्योंकि एक परिमित समय में एक दुष्ट सर्वर एईएस -128 एन्क्रिप्शन को तोड़ने के लिए पर्याप्त जानकारी जमा कर सकता है।
इसलिए ईएपी-पीएसके को शून्य-ज्ञान पासवर्ड प्रमाण का उदाहरण नहीं माना जा सकता है, हालांकि ईएपी-एसपीकेई जैसे ईएपी पर आधारित अन्य प्रस्तावित प्रमाणीकरण योजनाओं में यह संपत्ति है।
EAP-PSK प्रोटोकॉल के समस्याग्रस्त भाग को स्पष्ट करने के लिए RFC 4764 में प्रस्तुत संदेश प्रवाह पर विचार करें।
पहला संदेश सर्वर द्वारा सहकर्मी को भेजा जाता है:
* Send a 16-byte random challenge (RAND_S). RAND_S was called RA
in Section 3.2
* State its identity (ID_S). ID_S was denoted by A in
Section 3.2.
o दूसरा संदेश सर्वर द्वारा सहकर्मी को भेजा जाता है:
* Send another 16-byte random challenge (RAND_P). RAND_P was
called RB in Section 3.2
* State its identity (ID_P). ID_P was denoted by B in
Section 3.2.
* Authenticate to the server by proving that it is able to
compute a particular MAC (MAC_P), which is a function of the
two challenges and AK:
MAC_P = CMAC-AES-128(AK, ID_P||ID_S||RAND_S||RAND_P)
o तीसरा संदेश सर्वर द्वारा सहकर्मी को भेजा जाता है:
* Authenticate to the peer by proving that it is able to compute
another MAC (MAC_S), which is a function of the peer's
challenge and AK:
MAC_S = CMAC-AES-128(AK, ID_S||RAND_P)
यहां AK एक गुप्त कुंजी का एक हिस्सा है जो इस स्तर पर उपयोग किया जाता है और यह उस दुष्ट सर्वर के सामने आ सकता है जो AES-128 को डिक्रिप्ट करने में सक्षम है।