<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    On 06/16/2017 05:36 PM, Matt Caswell wrote:<br>
    <blockquote type="cite"
      cite="mid:cc28bc66-9f9b-5b4d-5957-d80080e176a7@openssl.org">
      <blockquote type="cite" style="color: #000000;">
        <pre wrap="">The security properties of such "external" PSKs are substantially
different than the "ephemeral" PSKs used in resumption flows.
</pre>
      </blockquote>
      <pre wrap="">Ben - Even external PSKs incorporate an ephemeral, per connection, ECDHE
based secret (assuming a suitable kex_mode is used). What do you see as
the concern?</pre>
    </blockquote>
    <br>
    The risk of accidentally using psk_ke instead of psk_dhe_ke is
    noticeable, and in terms of concrete differences, there are
    additional requirements on external PSKs that the KDF and PSK
    identity must remain fixed across uses.  That, combined with the
    potential for insufficient entropy during key generation (mentioned
    in section 2.2 of draft-20) seem to provide more openings for
    cryptographic attacks than for the full resumption flow.  It is
    probably fine for uses where the other properties of external PSKs
    are needed, but I'm not sure that the risk/reward balance favors
    using it just to get a speedup -- TLS 1.3 resumption should already
    be pretty fast.<br>
    <br>
    -Ben<br>
  </body>
</html>