HMAC - HMAC - Wikipedia

HMAC-SHA1 nesli

İçinde kriptografi, bir HMAC (bazen ikisinden biri olarak genişletilir anahtarlı karma mesaj kimlik doğrulama kodu veya karma tabanlı ileti kimlik doğrulama kodu) belirli bir türdür mesaj doğrulama kodu (MAC) bir kriptografik karma işlevi ve gizli bir kriptografik anahtar içerir. Herhangi bir MAC ile olduğu gibi, bir mesajın hem veri bütünlüğünü hem de gerçekliğini aynı anda doğrulamak için kullanılabilir.

HMAC şunları sağlayabilir: dijital imzalar kullanarak paylaşılan sır onun yerine açık anahtar şifreleme. Bir kompleks ihtiyacını ortadan kaldırır Açık Anahtar Altyapısı Anahtar değişimini, iletişimden önce anahtar üzerinde anlaşmaya varmak için güvenilir bir kanal kurmaktan ve kullanmaktan sorumlu olan iletişim kuran taraflara devrederek.[1]

Detaylar

Herhangi bir şifreleme karma işlevi, örneğin SHA-2 veya SHA-3, bir HMAC hesaplamasında kullanılabilir; elde edilen MAC algoritması, HMAC-X olarak adlandırılır ve burada X, kullanılan karma fonksiyondur (örneğin, HMAC-SHA256 veya HMAC-SHA3-256). HMAC'ın kriptografik gücü, kriptografik güç temeldeki hash işlevi, hash çıktısının boyutu ve anahtarın boyutu ve kalitesi.

HMAC, hash hesaplamasının iki geçişini kullanır. Gizli anahtar ilk olarak iki anahtar - iç ve dış - türetmek için kullanılır. Algoritmanın ilk geçişi, mesajdan ve iç anahtardan türetilen dahili bir hash üretir. İkinci geçiş, iç hash sonucundan ve dış anahtardan türetilen nihai HMAC kodunu üretir. Böylece algoritma, şunlara karşı daha iyi bağışıklık sağlar uzunluk uzatma saldırıları.

Yinelemeli bir karma işlevi, bir mesajı sabit boyutta bloklara böler ve bunların üzerinde bir sıkıştırma işlevi. Örneğin, SHA-256, 512 bitlik bloklar üzerinde çalışır. HMAC çıktısının boyutu, altta yatan hash fonksiyonununkiyle aynıdır (örneğin, SHA-256 ve SHA-512 durumunda sırasıyla 256 ve 512 bit), ancak istenirse kesilebilir.

HMAC mesajı şifrelemez. Bunun yerine, mesaj (şifrelenmiş veya şifrelenmemiş) HMAC hash ile birlikte gönderilmelidir. Gizli anahtara sahip taraflar, mesajı tekrar kendileri hashlerler ve eğer gerçekse, alınan ve hesaplanan hash'ler eşleşir.

HMAC yapısının tanımı ve analizi ilk olarak 1996 yılında bir yazıda yayınlandı. Mihir Bellare, Ran Canetti ve Hugo Krawczyk,[2] ve ayrıca yazdılar RFC 2104 1996 tarihli makale ayrıca NMAC adı verilen iç içe bir varyantı tanımladı. FIPS PUB 198, HMAC'lerin kullanımını genelleştirir ve standartlaştırır. HMAC, IPsec, SSH ve TLS protokoller ve JSON Web Jetonları.

Tanım

Bu tanım, RFC 2104:

nerede

H, kriptografik bir hash fonksiyonudur
m mesaj kimliği doğrulanacak mı
K gizli anahtar
K' gizli anahtardan türetilen blok boyutlu bir anahtardır, K; ya blok boyutuna kadar 0'larla sağa doldurarak ya da önce blok boyutundan küçük veya ona eşit olacak şekilde hashing uygulayarak ve ardından sağa sıfırlarla doldurarak
|| gösterir birleştirme
⊕ bitsel gösterir özel veya (ÖZELVEYA)
opad 0x5c değerinde yinelenen baytlardan oluşan blok boyutlu dış dolgu
ipad 0x36 değerinde tekrarlanan baytlardan oluşan blok boyutlu iç dolgu

Uygulama

Aşağıdaki sözde kod HMAC'ın nasıl uygulanabileceğini gösterir. Aşağıdaki hash işlevlerinden biri kullanılırken blok boyutu 64'tür (bayt): SHA-1, MD5, RIPEMD-128/160.[3]

işlevi hmac dır-dir    giriş:        anahtar: Bayt // Bayt dizisi        mesaj: Bayt // Hashing uygulanacak bayt dizisi        Özet fonksiyonu // Kullanılacak karma işlevi (ör. SHA-1)        blockSize: Tamsayı // Karma işlevinin blok boyutu (ör. SHA-1 için 64 bayt)        outputSize: Tamsayı // Karma işlevinin çıktı boyutu (ör. SHA-1 için 20 bayt)     // Daha uzun anahtarlar blok boyutu hashing uygulanarak kısaltılır    Eğer (uzunluk (anahtar)> blockSize) sonra        anahtar ← karma (anahtar) // anahtar outputSize bayt uzunluğunda    // Daha kısa anahtarlar blok boyutu yastıklı blok boyutu sağda sıfırlarla doldurarak    Eğer (uzunluk (anahtar)  sonra        tuş ← Pad (anahtar, blockSize) // Yapmak için anahtarı sıfırlarla doldurun blok boyutu bayt uzunluğunda    o_key_pad ← anahtar x veya [0x5c * blockSize] // Dış yastıklı anahtar    i_key_pad ← anahtar x veya [0x36 * blockSize] // İç yastıklı anahtar    dönüş karma (o_key_pad ∥ karma (i_key_pad ∥ mesaj))

Tasarım ilkeleri

HMAC spesifikasyonunun tasarımı, bir anahtarı bir hash fonksiyonu ile birleştirmek için daha önemsiz mekanizmalara yapılan saldırıların varlığıyla motive edildi. Örneğin, HMAC'ın sağladığı güvenliğin MAC = ile elde edilebileceği varsayılabilir. H(anahtar || İleti). Bununla birlikte, bu yöntem ciddi bir kusurdan muzdariptir: çoğu karma işlevde, anahtarı bilmeden iletiye veri eklemek ve başka bir geçerli MAC ("uzunluk uzatma saldırısı "). Alternatif, MAC = kullanarak anahtarı ekleyerek H(İleti || anahtar), (anahtarsız) karma işlevinde bir çarpışma bulabilen bir saldırganın MAC'de bir çarpışmaya sahip olması sorunundan muzdariptir (aynı hash'i veren iki mesaj m1 ve m2 gibi, karma işlevine aynı başlangıç ​​koşulunu sağlar. eklenen anahtar karma hale getirilir, bu nedenle son karma aynı olacaktır). MAC kullanımı = H(anahtar || İleti || anahtar) daha iyidir, ancak çeşitli güvenlik belgeleri, iki farklı anahtar kullanıldığında bile bu yaklaşımla ilgili güvenlik açıkları önermektedir.[2][4][5]

Şu şekilde tanımlanan mevcut HMAC spesifikasyonuna karşı bilinen hiçbir uzantı saldırısı bulunamadı. H(anahtar || H(anahtar || İleti)) çünkü hash fonksiyonunun dış uygulaması dahili hash'in ara sonucunu maskeler. Değerleri ipad ve opad algoritmanın güvenliği için kritik değildir, ancak geniş bir alana sahip olacak şekilde tanımlanmıştır. Hamming mesafesi birbirlerinden ve böylece iç ve dış anahtarların ortak bitleri daha az olacaktır. HMAC'ın güvenlik azaltımı, bunların en az bir bitte farklı olmasını gerektirir.[kaynak belirtilmeli ]

Keccak karma işlevi, tarafından seçilen NIST olarak SHA-3 rekabet galibi, bu iç içe yaklaşıma ihtiyaç duymaz ve uzunluk uzatma saldırılarına duyarlı olmadığından, anahtarı mesajın başına ekleyerek bir MAC oluşturmak için kullanılabilir.[6]

Güvenlik

HMAC'nin şifreleme gücü, kullanılan gizli anahtarın boyutuna bağlıdır. HMAC'lere karşı en yaygın saldırı, gizli anahtarı ortaya çıkarmak için kaba kuvvettir. HMAC'ler, çarpışmalardan, tek başına temel karma algoritmalarından önemli ölçüde daha az etkilenir.[7][8] Özellikle, 2006 yılında Mihir Bellare, HMAC'ın bir PRF tek varsayım altında, sıkıştırma işlevi bir PRF'dir.[9] Bu nedenle HMAC-MD5, MD5'te bulunan aynı zayıflıklardan muzdarip değildir.

RFC 2104 "anahtarların daha uzun olmasını gerektirir B baytlar ilk olarak H"Bu kafa karıştırıcı bir sözde çarpışmaya yol açar: anahtar karma blok boyutundan daha uzunsa (ör. SHA-1 için 64 karakter), o zaman HMAC (k, m) olarak hesaplanır HMAC (H (k), m).Bu özellik bazen parola bozma senaryolarında HMAC'ın olası bir zayıflığı olarak ortaya çıkar: Uzun bir ASCII dizesi ve hash değeri de bir ASCII dizesi olacak rastgele bir değer bulmanın mümkün olduğu ve her iki değerin de aynı şeyi üreteceği gösterilmiştir. HMAC çıkışı.[10][11]

2006 yılında Jongsung Kim, Alex Biryukov, Bart Preneel, ve Seokhie Hong HMAC'ın azaltılmış MD5 ve SHA-1 sürümleri veya tam sürümleri ile nasıl ayırt edileceğini gösterdi HAVAL, MD4, ve SHA-0 bir rastgele işlev veya rastgele işlevli HMAC. Diferansiyel ayırıcılar, bir saldırganın HMAC'a sahte bir saldırı düzenlemesine izin verir. Ayrıca, diferansiyel ve dikdörtgen ayırıcılar ikinci ön görüntü saldırıları. MD4'ün tam sürümüne sahip HMAC, dövme bu bilgiyle. Bu saldırılar, HMAC'ın güvenlik kanıtıyla çelişmez, ancak mevcut kriptografik hash işlevlerine dayalı olarak HMAC hakkında bilgi sağlar.[12]

2009 yılında, Xiaoyun Wang et al. ilgili anahtarları kullanmadan HMAC-MD5'e ayırt edici bir saldırı sundu. MD5 ile bir HMAC somutlaştırmasını 2 ile rastgele işlevli bir somutlaştırmadan ayırt edebilir.97 0.87 olasılığı olan sorgular.[13]

2011 yılında bir bilgilendirme RFC 6151[14] güvenlik hususlarını özetlemek için yayınlandı MD5 ve HMAC-MD5. HMAC-MD5 için RFC bunu özetliyor - MD5 karma işlevinin kendisi ciddi şekilde tehlikeye atıldı - şu anda bilinen "HMAC-MD5'e yapılan saldırılar, mesaj kimlik doğrulama kodu olarak kullanıldığında pratik bir güvenlik açığına işaret etmiyor"ama bunu da ekler "yeni bir protokol tasarımı için, HMAC-MD5 içeren bir şifre takımı dahil edilmemelidir".

Mayıs 2011'de, RFC 6234 SHA tabanlı HMAC'ler için soyut teori ve kaynak kodunu detaylandıran yayınlanmıştır.

Örnekler

8 bit olduğu varsayılarak, bazı boş olmayan HMAC değerleri ASCII veya UTF-8 kodlama:

HMAC_MD5 ("anahtar", "Hızlı kahverengi tilki tembel köpeğin üzerinden atlar") = 80070713463e7749b90c2dc24911e275HMAC_SHA1 ("anahtar", "Hızlı kahverengi tilki, tembel köpeğin üzerinden atlar") = de7cd9b85b8b78aa6bc8a7a36f70a90 " tembel köpek ") = f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8

Referanslar

  1. ^ "HMAC'ı nasıl ve ne zaman kullanırım?". Güvenlik Yığın Değişimi. Nisan 2015. Alındı 25 Kasım 2020.
  2. ^ a b Bellare, Mihir; Canetti, Ran; Krawczyk, Hugo (1996). "İleti Kimlik Doğrulaması için Karma İşlevleri Anahtarlama": 1–15. CiteSeerX  10.1.1.134.8430. Alıntı dergisi gerektirir | günlük = (Yardım)
  3. ^ "HMAC'ın Tanımı". HMAC: Mesaj Kimlik Doğrulaması için Anahtarlı Hashing. sn. 2. doi:10.17487 / RFC2104. RFC 2104.
  4. ^ Preneel, Bart; van Oorschot, Paul C. (1995). "MDx-MAC ve Hash Fonksiyonlarından Hızlı MAC'ler Oluşturma". CiteSeerX  10.1.1.34.3855. Alıntı dergisi gerektirir | günlük = (Yardım)
  5. ^ Preneel, Bart; van Oorschot, Paul C. (1995). "İki MAC Algoritmasının Güvenliği Üzerine". CiteSeerX  10.1.1.42.8908. Alıntı dergisi gerektirir | günlük = (Yardım)
  6. ^ Keccak takımı. "Keccak Ekibi - Tasarım ve güvenlik". Alındı 31 Ekim 2019. SHA-1 ve SHA-2'den farklı olarak Keccak'ın uzunluk uzatma zayıflığı yoktur, dolayısıyla HMAC iç içe konstrüksiyona ihtiyaç duymaz. Bunun yerine, MAC hesaplaması, mesajın önüne anahtar eklenerek gerçekleştirilebilir.
  7. ^ Bruce Schneier (Ağustos 2005). "SHA-1 Kırık". Alındı 9 Ocak 2009. çarpışmaların önemli olmadığı HMAC gibi uygulamaları etkilemese de
  8. ^ IETF (Şubat 1997). "Güvenlik". HMAC: Mesaj Kimlik Doğrulaması için Anahtarlı Hashing. sn. 6. doi:10.17487 / RFC2104. RFC 2104. Alındı 3 Aralık 2009. HMAC'a karşı bilinen en güçlü saldırı, hash fonksiyonu H ("doğum günü saldırısı") [PV, BCK2] için çarpışma sıklığına dayanır ve minimum düzeyde makul hash fonksiyonları için tamamen pratik değildir.
  9. ^ Bellare, Mihir (Haziran 2006). "NMAC ve HMAC için Yeni Kanıtlar: Çarpışmaya Dirençsiz Güvenlik". Dwork, Cynthia (ed.). Kriptolojideki Gelişmeler - Crypto 2006 İşlemleri. Bilgisayar Bilimleri Ders Notları 4117. Springer-Verlag. Alındı 25 Mayıs 2010. Bu makale HMAC'ın bir PRF tek varsayım altında sıkıştırma fonksiyonunun bir PRF olduğu. Bu, bilinen hiçbir saldırı sıkıştırma işlevinin sözde raslantısallığını tehlikeye atmadığı için kanıta dayalı bir garantiyi kurtarır ve ayrıca HMAC'ın (zayıf) çarpışma direnci tehlikeye atılan karma işlevlerle uygulandığında bile gösterdiği saldırıya karşı direnci açıklamaya yardımcı olur.
  10. ^ "PBKDF2 + HMAC hash çarpışmaları açıklandı · Mathias Bynens". mathiasbynens.be. Alındı 7 Ağustos 2019.
  11. ^ "Aaron Toponce: HMAC'ı Kırmak". Alındı 7 Ağustos 2019.
  12. ^ Jongsung, Kim; Biryukov, Alex; Preneel, Bart; Hong, Seokhie (2006). "HAVAL, MD4, MD5, SHA-0 ve SHA-1'e Dayalı HMAC ve NMAC Güvenliği Hakkında" (PDF). Alıntı dergisi gerektirir | günlük = (Yardım)
  13. ^ Wang, Xiaoyun; Yu, Hongbo; Wang, Wei; Zhang, Haina; Zhan, Tao (2009). "HMAC / NMAC-MD5 ve MD5-MAC üzerinde kriptanaliz" (PDF). Alındı 15 Haziran 2015. Alıntı dergisi gerektirir | günlük = (Yardım)
  14. ^ "RFC 6151 - MD5 Message-Digest ve HMAC-MD5 Algoritmaları için Güncellenmiş Güvenlik Hususları". İnternet Mühendisliği Görev Gücü. Mart 2011. Alındı 15 Haziran 2015.
Notlar
  • Mihir Bellare, Ran Canetti ve Hugo Krawczyk, Mesaj Kimlik Doğrulaması için Anahtar Karma İşlevleri, KRİPTO 1996, s. 1–15 (PS veya PDF).
  • Mihir Bellare, Ran Canetti ve Hugo Krawczyk, Hash fonksiyonlarını kullanarak mesaj kimlik doğrulaması: HMAC yapısı, CryptoBytes 2 (1), Bahar 1996 (PS veya PDF).

Dış bağlantılar