如何以及何时使用HMAC？

#1 楼

通过MAC算法从消息和密钥生成消息验证码（MAC）。 MAC的一个重要特性是不可能在不知道密钥的情况下产生消息和密钥的MAC。由不同密钥产生的相同消息的MAC看起来无关紧要。即使知道其他消息的MAC也无法帮助计算新消息的MAC。

HMAC是基于哈希函数的MAC。基本思想是将密钥和消息连接在一起，并将它们哈希在一起。由于在给定密码学哈希值的情况下不可能找出它的哈希值，因此知道哈希值（甚至是此类哈希值的集合）就不可能找到密钥。基本思想尚未完全解决，部分原因是由于长度扩展攻击，因此实际的HMAC构造要复杂一些。有关更多信息，请浏览密码栈交换上的hmac标记，尤其是为什么H（k || x）不是安全的MAC构造？为什么H（k || length || x）是安全的MAC构造？和HMAC与MAC功能。还有其他定义MAC的方法，例如基于块密码的MAC算法，例如CMAC。

MAC对消息进行身份验证。如果Alice看到一条消息和一个MAC并且知道关联的秘密密钥，则她可以通过自己进行MAC计算来验证该MAC是由知道该密钥的主体生成的。因此，如果消息附带正确的MAC，则表示该消息在某个时候被秘密密钥的持有者看到。 MAC是基于密钥的签名，与基于公钥密码术的签名方案（例如基于RSA的方案）提供相似的保证，其中签名必须由拥有私钥的委托人产生。 >
例如，假设爱丽丝将自己的秘密密钥保留给自己，并且仅使用它来计算她存储在云服务器或其他不可靠的存储介质上的消息的MAC。如果她以后回读一条消息并看到正确的MAC，则说明她知道这是她过去存储的消息之一。

HMAC本身不提供消息完整性。它可以是提供完整性的协议中的组件之一。例如，假设爱丽丝将多个文件的后续版本及其MAC存储在不可靠的介质上。 （同样，我们假设只有爱丽丝知道密钥。）如果她回读了具有正确MAC的文件，则她知道回读的内容是所存储文件的某个先前版本。控制存储介质的攻击者仍可能返回文件的旧版本或其他文件。在这种情况下，提供存储完整性的一种可能方法是将文件名和版本号作为其MAC计算数据的一部分。爱丽丝需要记住每个文件的最新版本号，以确认没有给她陈旧的数据。确保完整性的另一种方法是让Alice记住每个文件的MAC（但是在这种特定情况下，哈希也可以做得很好）。力量比实际可行。

#2 楼

HMAC是经常与一些数据一起发送的计算出的“签名”。 HMAC用于验证（验证）数据是否已更改或替换。这是一个比喻：

您将要邮寄一个包含照片的包裹给Sarah。您希望她打开包装并查看照片。您希望在不久的将来的某个时候，她会把包装好的照片寄回给您。她将同一张照片放回包装盒至关重要。您需要绝对确定她不会将更改过的照片发回给您，也不会换成其他照片。您每天都会有数百个带有不同照片的软件包打包出售；您永远不会记得如此详细的照片，以至于无法分辨她是否做了一点改动（例如是否用喷枪将脸上的小痘痘喷了一下）。您将包裹寄给她，将照片的另一份副本放在一个小的带锁的盒子中。保持钥匙。将带锁的小盒子与您邮寄给她的原始照片一起放在包装内。假设她知道自己不打算从包裹中取出上锁的盒子。当您从她那里收到包裹时，将其打开，将照片放在桌子上。打开锁盒，取出副本，比较两者。如果它们相同，则表示她没有更改照片（“真实”）。如果锁中的盒子不在包装中，或者您的钥匙无法打开它，则假定她做错了事，并将整个包装扔到了垃圾箱。这样做的好处是，您无需“记住”您最初寄给她的东西的任何内容。确保照片合法性所需的所有内容都将返回包装内。

在上面的示例中，小的锁定框表示HMAC。您的密钥是HMAC的密钥。照片是您将HMAC应用于的数据。

上面是一个往返比喻，其中只有您有一把钥匙。在不同的情况下，假设您经常将包裹发送给Tommy。您担心爱管闲事的邮递员可能会打开您的包裹并替换照片或进行更改。您对带锁的盒子执行相同的操作，除了在这种情况下，您要让汤米（Tommy）拥有钥匙的副本，以便他收到包裹时，他可以打开随附的带锁的盒子并自己比较照片。如果收到后他发现照片有所不同，他的钥匙没有打开盒子或盒子丢失了，那么他知道有些东西是可疑的。他们工作。让我们再次更改隐喻以更接近它们的工作方式：

让照片保留包裹的心理意象：您想将其邮寄，然后像以前一样再次接收，确保照片没有被接收器更改或更换，或者在往返过程中。

在关闭包装并邮寄之前，请复制照片。这次没有锁定的盒子，而是用液体化学药品的混合物刷满了副本。只有您知道此混合物的配方（键），并且每当刷完副本时，都使用完全相同的笔触。混合物将使照片的副本打乱并模糊成类似于现代艺术的东西。我们称之为HMAC。您不确定它干后的样子，但是您知道如果用相同的配方和相同的笔触刷任何两张相同的照片，则生成的HMAC看起来将相同。因此，您将干燥的HMAC与原始照片一起放入包装中，然后将其发送给Sarah。

从莎拉（Sarah）拿回包裹时，其中包含您希望未更改的原始照片以及您希望创建并包含的HMAC。从包装中取出照片，进行复制，然后使用该副本创建另一个HMAC（应用混合/画笔笔触）。将您刚创建的HMAC与软件包中返回的HMAC进行比较。如果它们相同，则可以确定Sarah和邮递员没有更改照片。

如果莎拉（Sarah）更改了照片，则HMAC将不相同。
如果莎拉（Sarah）更改了HMAC，则HMAC将不相同。照片，并尝试创建新的HMAC，那么HMAC将不会完全相同（她不知道您的食谱）。

因此您知道照片（数据）是否真实，这正是HMAC的用途。

#3 楼

简短的答案是“ HMAC使用对称密钥而不是PKI提供数字签名”。本质上，如果您不想处理复杂的公钥/私钥，信任根和证书链，则仍可以使用HMAC获得可靠的数字签名。 HMAC依靠对称密钥加密和预共享的机密，而不是专用/公用对。缺点与一般的对称密钥密码学相同-您现在需要担心秘密密钥的分发和保护。

#4 楼

1。每当需要维护数据完整性（和真实性）时，都可以使用HMAC

2。密钥是HMAC的一部分，因为它是只有两个参与方之间已知的共享秘密，只有他们才能创建HMAC，而没有其他人可以创建。 （确保真实性）

3。在HMAC上无法进行长度扩展攻击。另一方面，MAC仅将密钥附加到消息中，这很容易受到影响。引入HMAC是为了克服对MAC的这种攻击。

#5 楼

需要检查两个“完整性”和“真实性”时使用HMACS。例如：考虑一个向您发送一条数据及其哈希值的场景-您可以通过重新计算消息的哈希值并将其与收到的哈希值进行比较来验证消息的完整性。但是，您不确定消息和哈希值是否由您认识/信任的人发送。如果您曾使用过HMACS，则可以使用只有您和受信任方知道的秘密密钥来重新计算HMAC，并将其与您刚收到的HMAC进行比较-实际上，这是为了“真实性”。 />就像我前面提到的那样，密钥的保密性确保HMAC是由受信任方计算的。
HMACS不是密钥散列。当您使用键控哈希而不是HMACS时，可能会进行长度扩展攻击。要进一步阅读，您可能需要检查一下。消息吗？我不知道对方的公共密钥吗？如果我知道公共密钥，那么为什么消息中的密钥而不是我使用已知的密钥呢？派对？”


密钥不是“在”消息中。该密钥用于根据消息生成HMAC。用于生成HMACS的密钥不是任何人的“公共密钥”。它更像是两方之间的共享秘密。您可以查看适用于AWS的REST API身份验证方法，以更好地了解如何使用HMACS进行URL签名。