Ian Goldberg answers:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">OTR already has a mechanism for authenticating with a shared secret.<br>
See <a href="http://www.cypherpunks.ca/otr/Protocol-v2-3.1.0.html" target="_blank">http://www.cypherpunks.ca/otr/Protocol-v2-3.1.0.html</a>
 (the current<br>
version).  It's the "Socialist Millionaires' Protocol" (SMP).<br></blockquote><br>OK.
 I did not look at the lastest version of OTR.<br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div><div class="h5">

</div></div>Can you describe the advantages of your proposal over that?<br></blockquote><div><br>I am not sure that there is a true advantage in practice, but for example EKE is less computationally intensive that OTR+SMP. Not using long-term public keys has some advantages in terms of efficiency.<br>
 <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
As for group chat, it's work in progress.  We had a paper a few months<br>
ago in ACM CCS describing a protocol for it, but quite a bit more work<br>
still needs to be done.<br></blockquote><div><br>I guess that you refer to <a href="http://www.cs.uwaterloo.ca/~iang/pubs/mpotr.pdf">http://www.cs.uwaterloo.ca/~iang/pubs/mpotr.pdf</a><br>I would not be as strict on the authentication as you appear to be.<br>
For group chat, I would not require one-to-one authentication, but simply that every participant has proved that he knows the shared password. It would be the digital world version of a meeting of a secret society, where one has to prove membership, but not identity.<br>
<br>-- <br>Louis <br></div></div>