a和b如何共享一个对称密钥？

在没有PKI的前提下，且不进行先验手段，那么永远做不到。

在有PKI的前提下，利用证书链就可以很容易做到。

在可信计算中存在一个东西叫做信任根，信任根是一个可以区分两个物体的东西，例如有你的虹膜，DNA，当然也包括你的私钥。

接下来就是信任传递，一层一层把信任从自己的私钥传递给自己消息。

但是在两个人没有互相接触的，且不第三方帮助下，你的信任根将无法被承认，无法与你这个人构成一定的必要的联系。

打个比方，假如你注册了一个新微信号，你怎么通过文字向你爸证明你是他儿子，很合理的方法就是说一些小时候的故事，这个故事就是你们一开始预共享密钥，利用这个来保证了你是你爸儿子。

但是有一天你失忆了，你怎么通过文字证明呢？证明不了啊，只能见面通过外貌或者血缘或者DNA检测来方法进行证明。

当然我们在现实生活也会向这种情况妥协，举个例子，一个诈骗犯伪装你和你爸聊了几天，每一天都对你爸体贴关心，比你这儿子还儿子。

这个时候你爸通过行为判断，嗯，这个人应该是我儿子。

我们通过不断与一个人进行交互，并随着交互次数增多提高对对方的信用等级。

具体可以见上面这个文章。

扯远了，因此这种情况下，要么先线下进行接触，传递密码本（军方依然采取这种操作），要么借助PKI才能做到。