HMAC (иногда расшифровывается как англ.hash-based message authentication code, код аутентификации (проверки подлинности) сообщений, использующий хеш-функции, или как англ.keyed-hash message authentication code, код аутентификации сообщений, использующий хеш-функции с ключом) — в информатике (криптографии), один из механизмов проверки целостности информации, позволяющий гарантировать то, что данные, передаваемые или хранящиеся в ненадёжной среде, не были изменены посторонними лицами (см. человек посередине). Механизм HMAC использует имитовставку (MAC), описан в RFC 2104, в стандартах организаций ANSI, IEF, ISO и NIST. MAC — стандарт, описывающий способ обмена данными и способ проверки целостности передаваемых данных с использованием секретного ключа. Два клиента, использующие MAC, как правило, используют общий секретный ключ. HMAC — надстройка над MAC; механизм обмена данными с использованием секретного ключа (как в MAC) и хеш-функций. В названии может уточняться используемая хеш-функция[1]: HMAC-MD5, HMAC-SHA1, HMAC-RIPEMD128, HMAC-RIPEMD160 и т. п.
Было замечено[кем?], что скорость работы хеш-функций (например, MD5, SHA-1, RIPEMD128, RIPEMD-160) обычно выше скорости работы симметричныхблочных шифров (например, DES). Возникло желание использовать хеш-функции в MAC, а наличие готовых библиотек с реализациями различных хеш-функций только подтолкнуло эту идею.
Но использовать некоторые хеш-функции в MAC было невозможно. Например, хеш-функция MD5 не может применяться в MAC, так как принимает только один аргумент — данные (строку, последовательность байт) и не использует секретного ключа.
В июне 1996 года[2] Хьюго Кравчик (англ.Hugo Krawczyk, сотрудник фирмы IBM), Михир Беллар[англ.] (англ.Mihir Bellare, сотрудник калифорнийского университета в Сан-Диего (UCSD)) и Ран Каннетти (англ.Ran Canetti, сотрудник фирмы IBM) опубликовали описание механизма HMAC, а в феврале 1997 года ими же был выпущен RFC 2104. В HMAC данные «смешивались» с ключом, и хеш-функция применялась дважды.
Были предложены и другие механизмы, позволяющие одновременно использовать данные и секретный ключ в существующих алгоритмах хеширования, но HMAC получил наибольшую поддержку[источник не указан 1303 дня].
Преимущества HMAC:
возможность использования хеш-функций, уже имеющихся в программном продукте;
отсутствие необходимости внесения изменений в реализации существующих хеш-функций (внесение изменений может привести к ухудшению производительности и/или ухудшению криптостойкости);
возможность замены хеш-функции в случае появления более безопасной или более быстрой хеш-функции.
Механизм HMAC был описан в стандартах организаций ANSI, IETF, ISO и NIST.
Применение
Реализация HMAC является обязательной (англ.mandatory to implement) для протокола IPsec.
HMAC используется и в других протоколах интернета, например, TLS.
ipad — блок вида ( 0x36 0x36 0x36 ... 0x36 ), где байт 0x36 повторяется b раз; 0x36 — константа, магическое число, приведённое в RFC 2104; «i» от «inner»[1];
K, key — секретный ключ (общий для отправителя и получателя);
K0 — изменённый ключ K (уменьшенный или увеличенный до размера блока (до b байт));
L — размер в байтах строки, возвращаемой хеш-функцией H; L зависит от выбранной хеш-функции и обычно меньше размера блока;
opad — блок вида ( 0x5c 0x5c 0x5c ... 0x5c), где байт 0x5c повторяется b раз; 0x5c — константа, магическое число, приведённое в RFC 2104; «o» от «outer»[1];
text — сообщение (данные), которое будет передаваться отправителем и подлинность которого будет проверяться получателем;
«» — операция «склейка строк» (последовательностей байт).
Схема работы алгоритма HMAC приведена на рисунках.
Этапы работы алгоритм HMAC перечисленные ниже.
Получить K0 путём уменьшения или увеличения ключа K до размера блока (до b байт).
1.1. Если длина ключа K равна размеру блока, то копируем K в K0 без изменений и переходим к шагу 2.
IF length( K ) == b THEN :
K_0 = K
END_IF
1.2. Если длина ключа K больше размера блока, то к ключу K применяем хеш-функцию H, получаем строку размером в L байт, добавляем нули к правой части этой строки для создания строки размером в b байт, копируем результат в K0 и переходим к шагу 2.
IF length( K ) > b THEN :
x = H( K ) // length( x ) == L
K_0 = zeros( x, b - L )
END_IF
1.3. Если длина ключа K меньше размера блока, то добавляем нули к правой части K для создания строки размером в b байт, копируем результат в K0 (например, если length( К ) = 20 (в байтах) и b = 64 (в байтах), то к правой части К будет добавлено 64 - 20 = 44 нулевых байта (0x00)) и переходим к шагу 2.
IF length( K ) < b THEN :
K_0 = zeros( K, b - length( K ) )
END_IF
Получить блок Si размером в b байт с помощью операции «побитовое исключающее ИЛИ» («xor», «»):
Si = xor( K0, ipad ) = K0 ipad.
Получить блок So размером в b байт с помощью операции «побитовое исключающее ИЛИ»:
So = xor( K0, opad ) = K0 opad.
Разбить сообщение (данные, набор байт) text на блоки размером b байт.
Склеить строку (последовательность байт) Si с каждым блоком сообщения М.
К строке, полученной на прошлом шаге, применить хеш-функцию Н.
Склеить строку So со строкой, полученной от хеш-функции H на прошлом шаге.
К строке, полученной на прошлом шаге, применить хеш-функцию Н.
Ключи размером меньше L байт, считаются[1] небезопасными (англ.strongly discouraged). Рекомендуется[1] выбирать ключи случайным образом и регулярно их менять. Ключи размером больше L байт, существенно не увеличивают[1] стойкость функции, могут использоваться, если имеются сомнения в случайности данных, используемых для создания ключа и получаемых от генератора случайных чисел.
На рисунке показана более эффективная[уточнить] реализация алгоритма HMAC-MD5. Реализация отличается использованием функции F. Использование этой реализации целесообразно, если большинство сообщений, для которых вычисляется MAC, короткие. Функция F — функция сжатия для хеш-функции H. В качестве аргументов F принимает переменную n и блок длиной в b байт. F производит разбиение блока на цепочку звеньев с длиной каждого звена в n байт. Функция F вызывается для каждого нового ключа один раз.
Псевдокод
Далее приведён пример реализации HMAC на псевдокоде:
FUNCTION hmac( key, msg ) :
// Если размер ключа больше, чем размер блока ...IF length( key ) > block_size THEN :
// Укорачиваем ключ до размера результата хеш-функции
key = hash( key )
// (Размер результата хеш-функции обычно меньше (а не равен), чем размер блока хеш-функции)END_IF// Если ключ меньше, чем размер блока хеш-функции ...IF length( key ) < block_size THEN:
// Дополняем ключ нулевой последовательностью
key = key ∥ zeroes( block_size - length( key ))
// оператор "∥" выполняет склейку строк (последовательностей байт)END_IF
ipad = [ '\x36' * block_size ]
// оператор "*" указывает количество повторений последовательности байт,// а block_size - размер блока хеш-функции,
opad = [ '\x5c' * block_size ]
ikeypad = ipad ⊕ key
// оператор "⊕" выполняет побитовое исключающее ИЛИ (xor)
okeypad = opad ⊕ key
RETURN hash( okeypad ∥ hash( ikeypad ∥ msg ) )
// Оператор "∥" выполняет склейку строкEND_FUNCTION
Примеры кода
Пример реализации алгоритма HMAC-MD5 с помощью функций стандартной библиотеки языка Python[3]:
Одна из возможных реализаций алгоритма HMAC-MD5 на языке PHP[4]:
functionhmac($key,$data){$b=64;// block size according RFC 2104if(strlen($key)>$b){$key=pack("H*",md5($key));}$key=str_pad($key,$b,chr(0x00));$ipad=str_pad('',$b,chr(0x36));$opad=str_pad('',$b,chr(0x5c));$k_ipad=$key^$ipad;$k_opad=$key^$opad;returnmd5($k_opad.pack("H*",md5($k_ipad.$data)));}
Примеры работы
Продемонстрируем пример работы алгоритма для различных входных данных.
Первый параметр — ключ K размером в 160 бит (20 байт). Второй параметр — сообщение text, которое будет передаваться отправителем и подлинность которого будет проверяться получателем. На выходе мы получаем код аутентификации размером в 160 бит.
Шаг 7. Применим хеш-функцию SHA-1 к строке, полученной на прошлом шаге.
HMAC( K, text ) = H( ( K0 opad ) || H( ( K ipad ) || text ) ) :
2e492768 aa339e32 a9280569 c5d02626 2b912431
Итог.
Получили строку HMAC( K, text ) размером в 20 байт.
Вопросы использования
Полученный код аутентичности позволяет убедиться в том, что данные не изменялись каким бы то ни было способом с тех пор, как они были созданы, переданы или сохранены доверенным источником. Для такого рода проверки необходимо, чтобы, например, две доверяющие друг другу стороны заранее договорились об использовании секретного ключа, который известен только им. Тем самым гарантируется аутентичность источника и сообщения. Недостаток такого подхода очевиден — необходимо наличие двух доверяющих друг другу сторон.
Безопасность
Безопасность любой функции MAC на основе встроенных хеш-функций зависит от криптостойкости базовой хеш-функции. Привлекательность HMAC — в том, что его создатели смогли доказать точное соотношение между стойкостью встроенных хеш-функций и стойкостью HMAC.
Безопасность функции имитовставки (MAC) обычно выражается в терминах вероятности успешного взлома с количеством времени, потраченного на это, а также на получение пары (сообщение — MAC), созданной с тем же ключом. В сущности, это доказано в BELL96a, что при данном уровне усилия (время, сообщение — MAC) на сообщение, сгенерированное конечным пользователем, вероятность успешной атаки на HMAC эквивалентна атаке, произведённой на встроенную хеш-функцию:
В первом типе атаки мы можем рассматривать функции сжатия F в качестве эквивалента хеш-функции, применяемой для сообщения, состоящие из единичного блока длиной B бит. Для этого на вход хеш-функции подаётся случайное значение длиной N бит. Нападение на хеш-функцию требует или полного перебора ключа, который обладает уровнем сложности порядка , или с помощью атаки «дней рождения», которая является частным случаем второго нападения, что обсуждается далее.
Во втором типе атаки злоумышленник ищет два сообщения М и М', которые получаются от одинаковой хеш-функции: H( M ) = H( M' ). Этот тип атаки известен также как атака «дней рождения». Уровень сложности данной атаки равен для хэша длины n. Исходя из этого, безопасность хеш-функции MD5 ставится под вопрос, потому что уровень сложности для него , что уже не выглядит невозможным при помощи современных[когда?] технологий. Означает ли это, что 128-битная хеш-функция, такая, как MD5, не подходит для HMAC? Ответ на этот вопрос — нет, что последует из следующих аргументов[источник не указан 1303 дня]. При атаке на MD5 злоумышленник может выбрать любой набор сообщений и работать оффлайн над поиском коллизий. Так как злоумышленник знает алгоритм хеширования и начальные условия, злоумышленник может создать хеш-код для каждого из сообщений. Однако, при атаке HMAC, злоумышленник не сможет генерировать пару («сообщение», «код») в удалённом (оффлайн) режиме, так как злоумышленник не знает ключа K. Таким образом, злоумышленник должен следить за последовательностью сообщений, порождаемых HMAC с тем же ключом, и выполнять атаку на них. Для хеш-кода длиной 128 бит требуется блоков или битов, сгенерированных с помощью того же ключа. Для 1-Гбит соединения нужно было бы следить за потоком сообщений, если ключ K не изменяется, в течение 150 000 лет для того чтобы добиться успеха. Таким образом, если скорость имеет значение, вполне приемлемо использовать MD5, а не SHA-1 в качестве встроенных хеш-функций для HMAC.
Блэк У. Интернет протоколы безопасности. Москва: издательство «Питер». 2001. ISBN 5-318-00002-9 (ISBN оригинала на английском языке: ISBN 0-13-014249-2).
RFC2104. Krawczyk H., Bellare M., Canetti R. «HMAC: Keyed-hashing for message authentication». Февраль 1997.
Stallings W. Cryptography and network security principles and practices. 2005. ISBN 0-13-187316-4.