HMAC

В криптографии HMAC код аутентификации сообщения на основе (иногда расширяемый как код аутентификации сообщения с хеш-ключом или хэша ) представляет собой особый тип кода аутентификации сообщения (MAC), включающий криптографическую хеш-функцию и секретный криптографический ключ. Как и любой MAC, его можно использовать для одновременной проверки целостности данных и подлинности сообщения. HMAC — это тип хеш-функции с ключом, которую также можно использовать в схеме получения ключей или схеме растяжения ключей.

HMAC может обеспечить аутентификацию с использованием общего секрета вместо использования цифровых подписей с асимметричной криптографией . Он устраняет необходимость в сложной инфраструктуре открытых ключей , делегируя обмен ключами взаимодействующим сторонам, которые несут ответственность за создание и использование доверенного канала для согласования ключа до передачи данных.

Любая криптографическая хеш-функция, такая как SHA-2 или SHA-3 , может использоваться при вычислении HMAC; результирующий алгоритм MAC называется HMAC- x , где x — используемая хэш-функция (например, HMAC-SHA256 или HMAC-SHA3-512). Криптографическая стойкость HMAC зависит от криптографической стойкости базовой хеш-функции, размера ее хеш-выхода, а также размера и качества ключа. ^[1]

HMAC использует два прохода вычисления хеша. Перед каждым проходом секретный ключ используется для получения двух ключей — внутреннего и внешнего. Затем первый проход алгоритма хеширования создает внутренний хэш, полученный из сообщения и внутреннего ключа. Второй проход создает окончательный код HMAC, полученный из результата внутреннего хеширования и внешнего ключа. Таким образом, алгоритм обеспечивает лучшую устойчивость к атакам расширения длины .

Итеративная хеш-функция (использующая конструкцию Меркла-Дамгорда ) разбивает сообщение на блоки фиксированного размера и перебирает их с помощью функции сжатия . Например, SHA-256 работает с 512-битными блоками. Размер выходных данных HMAC такой же, как и у базовой хэш-функции (например, 256 и 512 бит в случае SHA-256 и SHA3-512 соответственно), хотя при желании его можно усечь.

HMAC не шифрует сообщение. Вместо этого сообщение (зашифрованное или нет) должно быть отправлено вместе с хешем HMAC. Стороны с секретным ключом сами снова хешируют сообщение, и если оно подлинное, полученные и вычисленные хэши совпадут.

Определение и анализ конструкции HMAC были впервые опубликованы в 1996 году в статье Михира Белларе , Рана Канетти и Хьюго Кравчика . ^{[1] [2]} и они также написали RFC 2104 в 1997 году. ^[3] В документе 1996 года также определен вложенный вариант под названием NMAC (Nested MAC). FIPS PUB 198 обобщает и стандартизирует использование HMAC. ^[4] HMAC используется в IPsec , ^[2] Протоколы SSH и TLS , а также веб-токены JSON .

Это определение взято из RFC 2104:

${\displaystyle {\begin{aligned}\operatorname {HMAC} (K,m)&=\operatorname {H} {\Bigl (}{\bigl (}K'\oplus opad{\bigr )}\parallel \operatorname {H} {\bigl (}\left(K'\oplus ipad\right)\parallel m{\bigr )}{\Bigr )}\\K'&={\begin{cases}\operatorname {H} \left(K\right)&{\text{if}}\ K{\text{ is larger than block size}}\\K&{\text{otherwise}}\end{cases}}\end{aligned}}}$

где

${\displaystyle \operatorname {H} }$ — это криптографическая хэш-функция.

${\displaystyle m}$ это сообщение, которое необходимо аутентифицировать.

${\displaystyle K}$ это секретный ключ.

${\displaystyle K'}$ — ключ размером с блок, полученный из секретного ключа K ; либо путем заполнения справа нулями до размера блока, либо путем хеширования до значения, меньшего или равного размеру блока, а затем заполнения справа нулями.

${\displaystyle \parallel }$ обозначает конкатенацию .

${\displaystyle \oplus }$ обозначает побитовое исключающее или (XOR).

${\displaystyle opad}$ — это внешнее заполнение размером с блок, состоящее из повторяющихся байтов со значением 0x5c.

${\displaystyle ipad}$ — это внутреннее заполнение размером с блок, состоящее из повторяющихся байтов со значением 0x36. ^[3]

Следующий псевдокод демонстрирует, как можно реализовать HMAC. Размер блока составляет 512 бит (64 байта) при использовании одной из следующих хеш-функций: SHA-1, MD5, RIPEMD-128. ^[3]

function hmac is
    input:
        key:        Bytes    // Array of bytes
        message:    Bytes    // Array of bytes to be hashed
        hash:       Function // The hash function to use (e.g. SHA-1)
        blockSize:  Integer  // The block size of the hash function (e.g. 64 bytes for SHA-1)
        outputSize: Integer  // The output size of the hash function (e.g. 20 bytes for SHA-1)

    // Compute the block sized key
    block_sized_key = computeBlockSizedKey(key, hash, blockSize)

    o_key_pad ← block_sized_key xor [0x5c blockSize]   // Outer padded key
    i_key_pad ← block_sized_key xor [0x36 blockSize]   // Inner padded key

    return  hash(o_key_pad ∥ hash(i_key_pad ∥ message))

function computeBlockSizedKey is
    input:
        key:        Bytes    // Array of bytes
        hash:       Function // The hash function to use (e.g. SHA-1)
        blockSize:  Integer  // The block size of the hash function (e.g. 64 bytes for SHA-1)
 
    // Keys longer than blockSize are shortened by hashing them
    if (length(key) > blockSize) then
        key = hash(key)

    // Keys shorter than blockSize are padded to blockSize by padding with zeros on the right
    if (length(key) < blockSize) then
        return  Pad(key, blockSize) // Pad key with zeros to make it blockSize bytes long

    return  key

Разработка спецификации HMAC была мотивирована существованием атак на более тривиальные механизмы объединения ключа с хэш-функцией. Например, можно предположить, что та же безопасность, которую обеспечивает HMAC, может быть достигнута с помощью MAC = H ( ключа ∥ сообщение ). Однако у этого метода есть серьезный недостаток: с помощью большинства хэш-функций легко добавить данные к сообщению, не зная ключа, и получить еще один действительный MAC (« атака с расширением длины »). Альтернатива, добавляющая ключ с использованием MAC = H ( сообщения ∥ ключ ), страдает от проблемы, заключающейся в том, что злоумышленник, который может обнаружить коллизию в (неключевой) хеш-функции, сталкивается с коллизией в MAC (поскольку два сообщения m1 и m2 дают тот же хэш обеспечит одно и то же условие запуска для хеш-функции перед хешированием добавленного ключа, следовательно, окончательный хэш будет таким же). Лучше использовать MAC = H ( ключ ∥ сообщение ∥ ключ ), но в различных документах по безопасности упоминаются уязвимости этого подхода, даже когда используются два разных ключа. ^{[1] [7] [8]}

Не было обнаружено никаких известных атак на расширение против текущей спецификации HMAC, которая определена как H ( key ∥ H ( key ∥ message )), поскольку внешнее применение хеш-функции маскирует промежуточный результат внутреннего хеш-функции. Значения ipad и opad не являются критичными для безопасности алгоритма, но были определены таким образом, чтобы иметь большое расстояние Хэмминга друг от друга, и поэтому внутренний и внешний ключи будут иметь меньше общих битов. Снижение безопасности HMAC требует, чтобы они отличались хотя бы одним битом. ^{[ нужна ссылка ]}

Хэш- функция Keccak , выбранная NIST в качестве победителя конкурса SHA-3 , не нуждается в этом вложенном подходе и может использоваться для генерации MAC-адреса путем простого добавления ключа к сообщению, поскольку она не подвержена изменениям длины. атаки расширения. ^[9]

Криптографическая стойкость HMAC зависит от размера используемого секретного ключа и безопасности используемой базовой хэш-функции. Доказано, что безопасность конструкции HMAC напрямую связана со свойствами безопасности используемой хэш-функции. Наиболее распространенной атакой на HMAC является грубая сила с целью раскрытия секретного ключа. HMAC существенно меньше подвержены коллизиям, чем лежащие в их основе алгоритмы хеширования. ^{[2] [10] [11]} В частности, Михир Белларе доказал, что HMAC является псевдослучайной функцией (PRF) при единственном предположении, что функция сжатия является PRF. ^[12] Таким образом, HMAC-MD5 не имеет тех недостатков, которые были обнаружены в MD5. ^[13]

RFC 2104 требует, чтобы «ключи длиной более B байтов сначала хешировались с использованием H », что приводит к запутанному псевдоколлизию: если ключ длиннее, чем размер хэш-блока (например, 64 байта для SHA-1), тогда HMAC(k, m) вычисляется как HMAC(H(k), m). Это свойство иногда рассматривается как возможная слабость HMAC в сценариях хеширования паролей: было продемонстрировано, что можно найти длинную строку ASCII и случайное значение, хэш которого также будет строкой ASCII, и оба значения будут давать одно и то же. Выход HMAC. ^{[14] [15] [16]}

В 2006 году Чонсон Ким , Алекс Бирюков , Барт Пренил и Соки Хонг показали, как отличить HMAC с сокращенными версиями MD5 и SHA-1 или полные версии HAVAL , MD4 и SHA-0 от случайной функции или HMAC со случайной функцией. функция. Дифференциальные различители позволяют злоумышленнику разработать поддельную атаку на HMAC. Кроме того, дифференциальные и прямоугольные различители могут привести к атакам второго прообраза . HMAC с полной версией MD4 Имея эти знания, можно подделать . Эти атаки не противоречат доказательствам безопасности HMAC, но дают представление о HMAC на основе существующих криптографических хеш-функций. ^[17]

В 2009 году Сяоюнь Ван и др. представил отличительную атаку на HMAC-MD5 без использования связанных ключей. Он может отличить реализацию HMAC с MD5 от реализации случайной функции с 2 ⁹⁷ запросы с вероятностью 0,87. ^[18]

В 2011 году был опубликован информационный RFC 6151, в котором обобщаются соображения безопасности в MD5 и HMAC-MD5. Для HMAC-MD5 в RFC резюмируется, что – хотя безопасность самой хеш-функции MD5 серьезно скомпрометирована – известные в настоящее время «атаки на HMAC-MD5, похоже, не указывают на практическую уязвимость при использовании в качестве кода аутентификации сообщения» , но это также добавляет, что «в новую конструкцию протокола не следует включать набор шифров с HMAC-MD5» . ^[13]

В мае 2011 года был опубликован RFC 6234 с подробным описанием абстрактной теории и исходного кода HMAC на основе SHA. ^[19]

Вот некоторые значения HMAC, предполагающие 8-битный ASCII для ввода и шестнадцатеричную кодировку для вывода:

HMAC_MD5("key", "The quick brown fox jumps over the lazy dog")    = 80070713463e7749b90c2dc24911e275

HMAC_SHA1("key", "The quick brown fox jumps over the lazy dog")   = de7c9b85b8b78aa6bc8a7a36f70a90701c9db4d9

HMAC_SHA256("key", "The quick brown fox jumps over the lazy dog") = f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8

HMAC_SHA512("key", "The quick brown fox jumps over the lazy dog") = b42af09057bac1e2d41708e48a902e09b5ff7f12ab428a4fe86653c73dd248fb82f948a549f7b791a5b41915ee4d1ec3935357e4e2317250d0372afa2ebeeb3a

• RFC2104
• Онлайн-генератор HMAC/инструмент для тестирования
• FIPS PUB 198-1, Код аутентификации сообщения с использованием хэш-ключа (HMAC)
• C реализация HMAC
• Реализация Python HMAC
• Java-реализация
• Реализация Rust HMAC