問題タブ [hmac]

プライベートデータを取得するためにクライアントが接続するWebサービスを設計しています。各クライアントには、自身を認証するためにパラメーターとしてWebサービスに送信される一意のIDと秘密鍵（サーバーによって生成される）があります。さらに、すべての通信はHTTPSを介して行われます。

また、秘密鍵をネットワーク経由で送信しないようにするために、HMAC-SHA256を使用することも計画しています。

しかし、これが厳密に必要かどうか疑問に思います。HTTPSはクライアントとサーバー間の安全なチャネルを提供するので、なぜそのチャネルを介して秘密鍵を送信するのが本当に気になるのでしょうか。

私が思いついた唯一の理由は、知識のない開発者が将来サービスを追加し、HTTPS以外の接続を拒否しない可能性があるため、秘密鍵をハッシュすることは、企業のソフトウェア開発の現実に対する一種の保険であり、余分な行ですあなたがそうするなら防衛の。

もっと重要なものが欠けていますか？これは、一部の攻撃ベクトルが利用できる本当の脆弱性ですか？

C＃を使用してRESTAPIを利用しようとしています。APIクリエーターは、PHP、Ruby、およびJavaでサンプルライブラリを提供しています。を生成する必要がある部分でハングアップしていHMACます。

彼らが提供したサンプルライブラリでそれがどのように行われるかを次に示します。

PHP

ルビー

Java

これがC＃での私の試みです。動作していません。更新：以下のC＃の例は問題なく機能します。本当の問題は、の改行文字のプラットフォーム間の違いが原因であることがわかりましたsignatureString。

Java で次のコードを使用して、HMAC-SHA1 を使用していくつかの値をハッシュしています。

Hex()属するorg.apache.commons.codec

hash_hmac(algorithm, data, key)PHP には、Java 実装によって返された値を比較するために使用する同様の関数があります。

したがって、最初の試行は次のとおりです。

それは次を返します：74ae5a4a3d9996d5918defc2c3d475471bbf59ac

私のJava関数74ae5a4a3d9996d5918defc2c3d475471bbf59acも同様に戻ります。

わかりました、うまくいっているようです。次に、より複雑なキーを使用しようとします。

それは次を返します：e98bcc5c5be6f11dc582ae55f520d1ec4ae29f7a

今回は私の Java impl が次のように返します。c19fccf57c613f1868dd22d586f9571cf6412cd0

PHP コードから返されたハッシュが、Java 関数から返された値と等しくなく、その理由がわかりません。

任意のヒント？

昨年、C# でワンタイム パスワード (OTP) ジェネレーターを作成しました。今、Java で OTP ジェネレーターを使用する必要がありますが、Java で同等の機能を見つけることができませんでした。

昨年書いたコードは次のとおりです: (この OTP のセキュリティが低いことはわかっていますが、防弾のものは必要ありません)

C# を変換しようとした Java コードは次のとおりです (これは SHA1 の部分にすぎません。Java で HMAC-MD5 を記述する方法が見つかりませんでした)。

手伝ってくれてありがとう

clearTextDataキーを使用して暗号化するために、次のことを試みましたkeyData。そして、これらの値の両方が有効であり、通過していることを確認するためにチェックしました。

ログは常に戻ってきますencrypted data: (null)

何か案は？

* アップデート *

渡すキーとデータの例を次に示します。

キー：983745hjhgfd3454

データ：{"data"： "lala"、 "pubKey"： "75948458"、 "sig"： "val"}

誰かがAndroid携帯にHmac-Whirlpoolを実装または使用していますか？インターネットでwhirlpool.java
を見つけましたが、AndroidSDKのデフォルトのセキュリティプロバイダーにはWhirlpoolもHmac-Whirlpoolもありません。

こんにちは、これが良い習慣かどうかについて質問があります。値を単純に二重ハッシュすることは、さまざまな理由で悪い可能性があることを認識しています。

私がやりたいことは、phpでこのようなものになるでしょう。

これは、クローズド API を介して信頼できるパートナーと認証しているためです。パスワードは MD5 ハッシュとして DB に保存されます。ただし、パートナーがこれと同じ値をネット経由で送信することは望ましくありません。

このようにして、データベース内の md5 化されたパスワードを、パートナーが送信した一意のハッシュと比較できます。

何て言う？

Javaで次のことを行うのに問題があります。以下は、私が使用しているツールのドキュメントからの Fantom コードです。

Google でさまざまな例を検索してきましたが、ドキュメントが返す必要があると主張する結果を生成するものはありません。

Fantom の知識を持つ人は、ドキュメントの例が正しいかどうかを確認できますか?

Java側に関しては、これが私の最近の試みです

ただし、次のパラメーターを使用してメソッドを呼び出すと、

私は得る

私はオンラインの「ハッキング」チャレ​​ンジを行っており、次のレベルに到達しようとしています。

現在のレベルでは、「Think fast」というキャプションが与えられ、次の質問があります。

「フィボナッチ数列の要素xとは何ですか？要素0は0ですか？」

ここで、xはランダムに生成されます。

答えを計算して送信すると、上記の質問の別の繰り返し（xの値が異なる）が表示され、「十分な速さで答えられませんでした」と表示されます。私は無駄にできるだけ早く答えを提出しようとしたので、別の方法があるに違いありません。

このページのソースコードを見ると、次のことがわかります:(興味深い/関連性があると思う部分だけを投稿します）

したがって、次のアイデアは、URLに含まれる情報を変更してタイムスタンプを編集することでした。

（私の行動を説明するための単なる例であり、上記のコードでリストされている回答、タイムスタンプ、hmacと一致しない場合があります）

http://www.skullspace.net/2011/08-batman/herecomes9.php?answer=1×tamp=1&number=1&hmac=e41bd1f9093a67b70ce9316b19abc1862ec 35c5c0f746444d8018286bf19d9adb05a652c46b5de53b2d4f d6b

これをブラウザに送信すると、「賢くしようとしないでください。HMACは指定されたパラメータと一致する必要があります」というキャプションが表示されます。

これは私が立ち往生しているところです。

次のレベルに進む方法について、誰かがアイデアやヒントを持っていますか？どういうわけかHMACを一致させることができますか？完全に別の方法はありますか？

アイデア/入力/ヘルプをありがとう！

このコードを使用してパスワードをハッシュしています。

鍵には 4096 ビットで十分ですか?

ありがとうございました！