HMAC - HMAC

Поколение HMAC-SHA1

В криптография, HMAC (иногда расширяется как ключевой хэш-код аутентификации сообщения или же код аутентификации сообщения на основе хэша) - это особый тип код аутентификации сообщения (MAC), включающий криптографическую хеш-функцию и секретный криптографический ключ. Как и любой MAC, он может использоваться для одновременной проверки целостности данных и подлинности сообщения.

HMAC может предоставить цифровые подписи используя поделился секретом вместо шифрование с открытым ключом. Он заменяет потребность в сложном инфраструктура открытого ключа путем делегирования обмена ключами взаимодействующим сторонам, которые несут ответственность за создание и использование доверенного канала для согласования ключа до связи.[1]

Подробности

Любая криптографическая хеш-функция, например SHA-2 или же SHA-3, может использоваться при вычислении HMAC; Результирующий алгоритм MAC называется HMAC-X, где X - используемая хеш-функция (например, HMAC-SHA256 или HMAC-SHA3-256). Криптографическая стойкость HMAC зависит от криптографическая стойкость базовой хеш-функции, размер ее выходного хеш-кода, а также размер и качество ключа.

HMAC использует два прохода хеш-вычисления. Секретный ключ сначала используется для получения двух ключей - внутреннего и внешнего. Первый проход алгоритма создает внутренний хэш, полученный из сообщения и внутреннего ключа. Второй проход создает окончательный код HMAC, полученный из результата внутреннего хеширования и внешнего ключа. Таким образом, алгоритм обеспечивает лучшую защиту от атаки удлинения длины.

Итеративная хеш-функция разбивает сообщение на блоки фиксированного размера и выполняет итерацию по ним с функция сжатия. Например, SHA-256 работает с 512-битными блоками. Размер вывода HMAC такой же, как и у базовой хеш-функции (например, 256 и 512 бит в случае SHA-256 и SHA-512, соответственно), хотя при желании он может быть усечен.

HMAC не шифрует сообщение. Вместо этого сообщение (зашифрованное или нет) должно быть отправлено вместе с хешем HMAC. Стороны с секретным ключом сами снова хешируют сообщение, и если оно подлинное, полученные и вычисленные хеши будут совпадать.

Определение и анализ конструкции HMAC были впервые опубликованы в 1996 году в статье Михир Белларе, Ран Канетти, и Хуго Кравчик,[2] и они также написали RFC 2104 в 1997 году. В документе 1996 года также определен вложенный вариант под названием NMAC. FIPS PUB 198 обобщает и стандартизирует использование HMAC. HMAC используется в IPsec, SSH и TLS протоколы и для Веб-токены JSON.

Определение

Это определение взято из RFC 2104:

куда

H - криптографическая хеш-функция
м сообщение для аутентификации
K это секретный ключ
K' ключ размером с блок, полученный из секретного ключа, K; либо путем заполнения справа нулями до размера блока, либо путем хеширования до значения, меньшего или равного размеру блока, а затем заполнения справа нулями
|| обозначает конкатенация
⊕ обозначает побитовое Эксклюзивный или (XOR)
опад внешнее заполнение размером с блок, состоящее из повторяющихся байтов со значением 0x5c
iPad это внутреннее заполнение размером с блок, состоящее из повторяющихся байтов со значением 0x36

Выполнение

Следующее псевдокод демонстрирует, как можно реализовать HMAC. Размер блока составляет 64 байта при использовании одной из следующих хэш-функций: SHA-1, MD5, RIPEMD-128/160.[3]

функция hmac является    Вход:        ключ: байты // Массив байтов        сообщение: байты // Массив байтов для хеширования        хэш: Функция // Используемая хеш-функция (например, SHA-1)        blockSize: Целое число // Размер блока хеш-функции (например, 64 байта для SHA-1)        outputSize: Целое число // Размер вывода хеш-функции (например, 20 байтов для SHA-1)     // Ключи длиннее размер блока сокращаются путем хеширования    если (длина (ключ)> размер блока) тогда        ключ ← хеш (ключ) // ключ outputSize длина в байтах    // Ключи короче размер блока дополнены к размер блока путем заполнения нулями справа    если (длина (ключ) <размер блока) тогда        клавиша ← Pad (клавиша, размер блока) // Дополнить ключ нулями, чтобы получилось размер блока длина в байтах    o_key_pad ← клавиша xor [0x5c * blockSize] // Внешний ключ с дополнением    i_key_pad ← клавиша xor [0x36 * размер блока] // Внутренний дополненный ключ    возвращаться хэш (o_key_pad ∥ hash (i_key_pad ∥ сообщение))

Принципы дизайна

Дизайн спецификации HMAC был мотивирован существованием атак на более тривиальные механизмы объединения ключа с хеш-функцией. Например, можно предположить, что такая же безопасность, которую обеспечивает HMAC, может быть достигнута с помощью MAC = ЧАС(ключ || сообщение). Однако этот метод страдает серьезным недостатком: с большинством хэш-функций легко добавить данные в сообщение, не зная ключа, и получить другой действительный MAC ("атака с увеличением длины "). Альтернатива, добавление ключа с помощью MAC = ЧАС(сообщение || ключ), страдает от проблемы, заключающейся в том, что злоумышленник, который может найти коллизию в (неключевой) хэш-функции, имеет коллизию в MAC (поскольку два сообщения m1 и m2, дающие один и тот же хэш, предоставят одинаковое условие запуска хеш-функции перед добавленный ключ хешируется, следовательно, окончательный хеш будет таким же). Использование MAC = ЧАС(ключ || сообщение || ключ) лучше, но различные документы по безопасности предлагают уязвимости с этим подходом, даже когда используются два разных ключа.[2][4][5]

Не было обнаружено никаких известных атак расширений на текущую спецификацию HMAC, которая определяется как ЧАС(ключ || ЧАС(ключ || сообщение)) потому что внешнее приложение хеш-функции маскирует промежуточный результат внутреннего хеширования. Ценности iPad и опад не критичны для безопасности алгоритма, но были определены таким образом, чтобы иметь большой Расстояние Хэмминга друг от друга, поэтому внутренний и внешний ключи будут иметь меньше общих битов. Снижение безопасности HMAC требует, чтобы они отличались хотя бы одним битом.[нужна цитата ]

В Кечак хэш-функция, выбранная NIST как SHA-3 победитель конкурса, не нуждается в таком вложенном подходе и может использоваться для генерации MAC, просто добавляя ключ к сообщению, поскольку он не подвержен атакам с увеличением длины.[6]

Безопасность

Криптографическая стойкость HMAC зависит от размера используемого секретного ключа. Самая распространенная атака на HMAC - это перебор секретного ключа. HMAC значительно меньше подвержены конфликтам, чем только их базовые алгоритмы хеширования.[7][8] В частности, в 2006 году Михир Белларе доказал, что HMAC - это PRF при единственном предположении, что функция сжатия является PRF.[9] Следовательно, HMAC-MD5 не страдает теми же недостатками, которые были обнаружены в MD5.

RFC 2104 требует, чтобы «ключи длиннее, чем B байты сначала хешируются с использованием ЧАС», Что приводит к запутанной псевдоколлизии: если ключ длиннее, чем размер блока хеширования (например, 64 символа для SHA-1), то HMAC (к, м) вычисляется как HMAC (H (k), м).Это свойство иногда упоминается как возможное слабое место HMAC в сценариях хеширования паролей: было продемонстрировано, что можно найти длинную строку ASCII и случайное значение, хэш которого также будет строкой ASCII, и оба значения будут давать одинаковые Выход HMAC.[10][11]

В 2006 г. Jongsung Kim, Алексей Бирюков, Барт Пренил, и Сохи Хонг показали, как отличить HMAC с сокращенными версиями MD5 и SHA-1 или полными версиями HAVAL, MD4, и SHA-0 из случайная функция или HMAC со случайной функцией. Дифференциальные распознаватели позволяют злоумышленнику разработать атаку подделки на HMAC. Кроме того, дифференциальные и прямоугольные различия могут привести к второстепенные атаки. HMAC с полной версией MD4 можно кованый с этим знанием. Эти атаки не противоречат доказательству безопасности HMAC, но дают представление о HMAC на основе существующих криптографических хэш-функций.[12]

В 2009, Сяоюнь Ван и другие. представили отличительную атаку на HMAC-MD5 без использования связанных ключей. Он может отличить создание HMAC с MD5 от экземпляра со случайной функцией с 297 запросы с вероятностью 0,87.[13]

В 2011 году информационный RFC 6151[14] был опубликован для обобщения соображений безопасности в MD5 и HMAC-MD5. Для HMAC-MD5 RFC резюмирует это, хотя безопасность MD5 сама хеш-функция серьезно скомпрометирована - известная в настоящее время «атаки на HMAC-MD5, похоже, не указывают на практическую уязвимость при использовании в качестве кода аутентификации сообщения», но также добавляет, что "для новой конструкции протокола не следует включать набор шифров с HMAC-MD5".

В мае 2011 г. RFC 6234 был опубликован с подробным описанием абстрактной теории и исходного кода для HMAC на основе SHA.

Примеры

Вот некоторые непустые значения HMAC, предполагающие 8-битные ASCII или же UTF-8 кодировка:

HMAC_MD5 ("ключ", "Быстрая коричневая лисица перепрыгивает через ленивую собаку") = 80070713463e7749b90c2dc24911e275HMAC_SHA1 ("ключ", "Быстрая коричневая лиса перепрыгивает через ленивую собаку") = de7c9b85b8b78aaa9bd6a над ленивым псом ") = f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8

Рекомендации

  1. ^ "Как и когда мне использовать HMAC?". Обмен стеками безопасности. Апрель 2015 г.. Получено 25 ноября 2020.
  2. ^ а б Белларе, Михир; Канетти, Ран; Кравчик, Хьюго (1996). «Использование хеш-функций для аутентификации сообщений»: 1–15. CiteSeerX  10.1.1.134.8430. Цитировать журнал требует | журнал = (помощь)
  3. ^ «Определение HMAC». HMAC: хеширование с ключом для аутентификации сообщений. сек. 2. Дои:10.17487 / RFC2104. RFC 2104.
  4. ^ Пренил, Барт; ван Оршот, Пол К. (1995). «MDx-MAC и построение быстрых MAC-адресов из хэш-функций». CiteSeerX  10.1.1.34.3855. Цитировать журнал требует | журнал = (помощь)
  5. ^ Пренил, Барт; ван Оршот, Пол К. (1995). «О безопасности двух MAC-алгоритмов». CiteSeerX  10.1.1.42.8908. Цитировать журнал требует | журнал = (помощь)
  6. ^ Команда Keccak. «Keccak Team - Дизайн и безопасность». Получено 31 октября 2019. В отличие от SHA-1 и SHA-2, Keccak не имеет недостатка в расширении длины, следовательно, не требует вложенной конструкции HMAC. Вместо этого можно выполнить вычисление MAC, просто добавив к сообщению ключ.
  7. ^ Брюс Шнайер (август 2005 г.). "SHA-1 сломан". Получено 9 января 2009. хотя это не влияет на такие приложения, как HMAC, где столкновения не важны
  8. ^ IETF (февраль 1997 г.). "Безопасность". HMAC: хеширование с ключом для аутентификации сообщений. сек. 6. Дои:10.17487 / RFC2104. RFC 2104. Получено 3 декабря 2009. Самая сильная атака, известная против HMAC, основана на частоте конфликтов для хэш-функции H («атака дня рождения») [PV, BCK2] и совершенно непрактична для минимально разумных хэш-функций.
  9. ^ Белларе, Михир (июнь 2006 г.). «Новые доказательства для NMAC и HMAC: безопасность без сопротивления столкновениям». В Dwork, Синтия (ред.). Достижения в криптологии - Crypto 2006 Proceedings. Конспект лекций по информатике 4117. Springer-Verlag. Получено 25 мая 2010. Эта статья доказывает, что HMAC является PRF при единственном предположении, что функция сжатия является PRF. Это восстанавливает основанную на доказательствах гарантию, поскольку никакие известные атаки не ставят под угрозу псевдослучайность функции сжатия, а также помогает объяснить устойчивость к атакам, которую HMAC демонстрирует даже при реализации с хэш-функциями, чья (слабая) устойчивость к столкновениям скомпрометирована.
  10. ^ «Объяснение коллизий хэша PBKDF2 + HMAC · Матиас Биненс». mathiasbynens.be. Получено 7 августа 2019.
  11. ^ "Аарон Топонсе: Взлом HMAC". Получено 7 августа 2019.
  12. ^ Jongsung, Ким; Бирюков Алексей; Пренил, Барт; Хонг, Сохи (2006). «О безопасности HMAC и NMAC на основе HAVAL, MD4, MD5, SHA-0 и SHA-1» (PDF). Цитировать журнал требует | журнал = (помощь)
  13. ^ Ван, Сяоюнь; Ю, Хунбо; Ван, Вэй; Чжан, Хайна; Чжан, Тао (2009). «Криптоанализ на HMAC / NMAC-MD5 и MD5-MAC» (PDF). Получено 15 июн 2015. Цитировать журнал требует | журнал = (помощь)
  14. ^ «RFC 6151 - обновленные соображения безопасности для алгоритмов MD5 Message-Digest и HMAC-MD5». Инженерная группа Интернета. Март 2011 г.. Получено 15 июн 2015.
Примечания
  • Михир Белларе, Ран Канетти и Хьюго Кравчик, Ключ хеш-функций для аутентификации сообщений, КРИПТО 1996, стр. 1–15 (PS или PDF).
  • Михир Белларе, Ран Канетти и Хьюго Кравчик, Аутентификация сообщений с использованием хэш-функций: конструкция HMAC, CryptoBytes 2 (1), весна 1996 г. (PS или PDF).

внешняя ссылка