密碼學奇妙之旅、03 HMAC單向散列消息認證碼、Golang代碼

来源:https://www.cnblogs.com/linxiaoxu/archive/2022/09/27/16736463.html
-Advertisement-
Play Games

探索密碼學的奇妙之旅。介紹HMAC單向散列消息認證碼、加鹽。使用golang crypto包實現HMAC生成與驗證,重放攻擊演示。 ...


HMAC 單向散列消息認證碼

消息認證碼MAC是用於確認完整性併進行認證的技術,消息認證碼的輸入包括任意長度的消息和一個發送者和接收者之間共用的密鑰(可能還需要共用鹽值)。

HMAC是使用單向散列函數來構造消息認證碼的方法,任何高強度單向散列函數都可以被用於HMAC,具體方法如下圖所示。

發送者需要同時把消息和認證碼發送給接收者,接收者接收了兩者,並根據接收到的消息和共用的密鑰生成認證碼進行比較。如果相同則消息未被篡改且認證成功。

MAC不能保證信息的機密性!MAC無法對第三方"C"證明,因為"A","B"兩者都有密鑰,都可以生成消息和MAC。因此第三方不知道是誰生成的,更不知道消息的真實性。MAC無法防止否認。

image-20220927223400754


加鹽

鹽是通過偽隨機數生成器生成的隨機數,會和密鑰一起被輸入單向散列函數。

主要目的是為了防禦字典攻擊。字典攻擊是一種事先進行計算並準備好候選密鑰列表的方法。是一種暴力攻擊破解手段。加了鹽,密鑰便多了n個數量級的可能,加大破解難度。

HMAC利用單向散列函數的單向性和抗碰撞性來保證無法根據MAC值推測出密鑰。


代碼

package main

import (
	"crypto/hmac"
	"crypto/rand"
	"crypto/sha256"
	"crypto/sha512"
	"encoding/base64"
	"fmt"
	"hash"
	"io"
)

var secretKey = "114514abcdefghijklmn"
var salt = generateSalt()

// 生成一個包含 16 位元組數據的鹽字元串
func generateSalt() string {
	randomBytes := make([]byte, 16)
	if _, err := rand.Read(randomBytes); err != nil {
		return ""
	}
	return base64.URLEncoding.EncodeToString(randomBytes)
}

// 提供散列函數、密鑰、鹽值、消息返回HMAC
func HMAC(h func() hash.Hash, secretKey string, salt string, message string) []byte {
	hash := hmac.New(h, []byte(secretKey))
	io.WriteString(hash, message+salt)
	return hash.Sum(nil)
}

func main() {
	/* ----------------------------------- 發送方 ---------------------------------- */
	message := "A請求B轉賬10000"
	fmt.Println("\n\t消息: " + message)
	fmt.Println("\t加鹽: " + salt)

	fmt.Printf("\n\tHMAC-Sha256: %x", HMAC(sha256.New, secretKey, salt, message))
	fmt.Printf("\n\tHMAC-Sha256: %x", HMAC(sha512.New, secretKey, salt, message))

	/* ----------------------------------- 修改一個字母 ---------------------------------- */

	messageChange := "C請求B轉賬10000"

	fmt.Printf("\n\n\tHMAC-Sha256: %x", HMAC(sha256.New, secretKey, salt, messageChange))
	fmt.Printf("\n\tHMAC-Sha256: %x\n\n", HMAC(sha512.New, secretKey, salt, messageChange))

	/* --------------------------- 接收方分別收到了發送者的消息、HMac值 -------------------------- */
	// ^ 假定消息和HMAC均被黑客截獲,黑客進行重放攻擊
	sendMessgage := message                                             // @ 發送者發送消息
	sendHMAC := string(HMAC(sha256.New, secretKey, salt, sendMessgage)) // @ 發送者計算HMAC並與消息一起發給接收者
	hackerGetHMAC := sendHMAC                                           // @ 黑客竊聽到HMAC
	hackerGetMessage := sendMessgage                                    // @ 黑客竊聽到消息
	receiveHMAC := hackerGetHMAC                                        // @ 接收者收到HMAC
	receiveMessage := hackerGetMessage                                  // @ 接收者收到MESSAGE
	if string(HMAC(sha256.New, secretKey, salt, receiveMessage)) == receiveHMAC {
		fmt.Println("\t第1次重放攻擊" + message)
	}
	receiveHMAC = hackerGetHMAC       // @ 接收者收到HMAC
	receiveMessage = hackerGetMessage // @ 接收者收到MESSAGE
	if string(HMAC(sha256.New, secretKey, salt, receiveMessage)) == receiveHMAC {
		fmt.Println("\t第2次重放攻擊" + message)
	}
	// ^ 假定消息和HMAC都是黑客發送的,但黑客並不知道密鑰和鹽值
	sendMessgage = "今天是KFC V我小能喵喵喵50速速"                                                       // @ 發送者發送消息
	sendHMAC = string(HMAC(sha256.New, "miyueshishenme", "114514", sendMessgage)) // @ 黑客計算HMAC並與消息一起發給接收者
	receiveHMAC = sendHMAC                                                        // @ 接收者收到HMAC
	receiveMessage = sendMessgage                                                 // @ 接收者收到MESSAGE
	if string(HMAC(sha256.New, secretKey, salt, receiveMessage)) != receiveHMAC {
		fmt.Println("\t消息不一致、認證失敗")
	}
}
PS C:\Users\小能喵喵喵\Desktop\Go\Cryptography\HMAC> go run .

    消息: A請求B轉賬10000
    加鹽: S_XlM8K_dhAvsgch_N3o1w==

    HMAC-Sha256: b8dd30d2a418262494f298bcdaf6c12f442c6e8f89a31822dad03561887f3bed
    HMAC-Sha256: ba934567837ec98ba89853b09f6652ce56955cfeedd0c4495bd6cba7fc2f8293635fdc59b90180564bd0fdb1d1bffc52644fc2bd8164d6379ae11510e200954c

    HMAC-Sha256: 2db84d209e2418f314fc5bb0583cfb50cde90d954d8493d3ed0e3b369fb092d7
    HMAC-Sha256: 7b192cedb1d89fd71889189a0094e1df06d26d977bc3bed4f53b16928aa2d58084cb8890d52cb40f665bb9ac62eeb4092495efe7d59292470ed597a3536dea56

    第1次重放攻擊A請求B轉賬10000
    第2次重放攻擊A請求B轉賬10000
    消息不一致、認證失敗

如何防止重放攻擊

  • 給消息加序號,收發雙方約定好
  • 時間戳,收發雙方必須考慮到通信延遲,還是會存在重放攻擊的空間。
  • 接收者發送一次性隨機數,發送者HMAC該隨機數後發送。確保當前消息只能發一次。

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • uniapp webview h5 通信 window.postMessage 方式 父頁面 <template> <view> <!-- <web-view :webview-styles="webviewStyles" src="https://uniapp.dcloud.io/static/w ...
  • 模塊 HTML 網頁中,瀏覽器通過<script>標簽載入 JavaScript 腳本。 <!-- 頁面內嵌的腳本 --> <script type="application/javascript"> // module code </script> <!-- 外部腳本 --> <script ty ...
  • 命令模式(Command Pattern)是一種數據驅動的設計模式,它屬於行為型模式。請求以命令的形式包裹在對象中,並傳給調用對象。調用對象尋找可以處理該命令的合適的對象,並把該命令傳給相應的對象,該對象執行命令。 ...
  • 橋接模式是一種在日常開發中不是特別常用的設計模式,主要是因為上手難度較大,但是對於理解面向對象設計有非常大的幫助。 ...
  • 在項目編碼中經常會遇到一些新的需求試圖復用已有的功能邏輯進行實現的場景,但是已有的邏輯又不能完全滿足新需求的要求,所以就會出現各種生搬硬套的操作。本篇文檔就一起來聊一聊如何藉助Adapter實現高效復用已有邏輯、讓代碼復用起來更加的得體與優雅。 ...
  • 【1】前言 本篇幅是對 線程池底層原理詳解與源碼分析 的補充,預設你已經看完了上一篇對ThreadPoolExecutor類有了足夠的瞭解。 【2】ScheduledThreadPoolExecutor的介紹 1.ScheduledThreadPoolExecutor繼承自ThreadPoolExe ...
  • 概述 tomcat亂碼問題相信大家肯定都遇見過,本篇將詳細介紹有關Tomcat的各種亂碼問題原因和解決方法😊 原因 首先亂碼問題的原因通俗的講就是讀的編碼格式和寫的解碼格式不一致,比如最常見的兩種中文編碼UTF-8和GBK,UTF-8一個漢字占三個位元組,GBK一個漢字占兩個位元組,所以當編碼與解碼格 ...
  • 簡述 類型:結構型 目的:將對象集合組合成樹形結構,使客戶端可以以一致的方式處理單個對象(葉子節點)和組合對象(根節點) 話不多說,上優化案例。 優化案例 最初版v0 不使用組合模式。 現有一個文件和目錄的管理模塊。如樣例。 public class File { // 文件類 private St ...
一周排行
    -Advertisement-
    Play Games
  • 下麵是一個標準的IDistributedCache用例: public class SomeService(IDistributedCache cache) { public async Task<SomeInformation> GetSomeInformationAsync (string na ...
  • 這個庫提供了在啟動期間實例化已註冊的單例,而不是在首次使用它時實例化。 單例通常在首次使用時創建,這可能會導致響應傳入請求的延遲高於平時。在註冊時創建實例有助於防止第一次Request請求的SLA 以往我們要在註冊的時候實例單例可能會這樣寫: //註冊: services.AddSingleton< ...
  • 最近公司的很多項目都要改單點登錄了,不過大部分都還沒敲定,目前立刻要做的就只有一個比較老的項目 先改一個試試手,主要目標就是最短最快實現功能 首先因為要保留原登錄方式,所以頁面上的改動就是在原來登錄頁面下加一個SSO登錄入口 用超鏈接寫的入口,頁面改造後如下圖: 其中超鏈接的 href="Staff ...
  • Like運算符很好用,特別是它所提供的其中*、?這兩種通配符,在Windows文件系統和各類項目中運用非常廣泛。 但Like運算符僅在VB中支持,在C#中,如何實現呢? 以下是關於LikeString的四種實現方式,其中第四種為Regex正則表達式實現,且在.NET Standard 2.0及以上平... ...
  • 一:背景 1. 講故事 前些天有位朋友找到我,說他們的程式記憶體會偶發性暴漲,自己分析了下是非托管記憶體問題,讓我幫忙看下怎麼回事?哈哈,看到這個dump我還是非常有興趣的,居然還有這種游戲幣自助機類型的程式,下次去大玩家看看他們出幣的機器後端是不是C#寫的?由於dump是linux上的程式,剛好win ...
  • 前言 大家好,我是老馬。很高興遇到你。 我們為 java 開發者實現了 java 版本的 nginx https://github.com/houbb/nginx4j 如果你想知道 servlet 如何處理的,可以參考我的另一個項目: 手寫從零實現簡易版 tomcat minicat 手寫 ngin ...
  • 上一次的介紹,主要圍繞如何統一去捕獲異常,以及為每一種異常添加自己的Mapper實現,並且我們知道,當在ExceptionMapper中返回非200的Response,不支持application/json的響應類型,而是寫死的text/plain類型。 Filter為二方包異常手動捕獲 參考:ht ...
  • 大家好,我是R哥。 今天分享一個爽飛了的面試輔導 case: 這個杭州兄弟空窗期 1 個月+,面試了 6 家公司 0 Offer,不知道問題出在哪,難道是杭州的 IT 崩盤了麽? 報名面試輔導後,經過一個多月的輔導打磨,現在成功入職某上市公司,漲薪 30%+,955 工作制,不咋加班,還不捲。 其他 ...
  • 引入依賴 <!--Freemarker wls--> <dependency> <groupId>org.freemarker</groupId> <artifactId>freemarker</artifactId> <version>2.3.30</version> </dependency> ...
  • 你應如何運行程式 互動式命令模式 開始一個互動式會話 一般是在操作系統命令行下輸入python,且不帶任何參數 系統路徑 如果沒有設置系統的PATH環境變數來包括Python的安裝路徑,可能需要機器上Python可執行文件的完整路徑來代替python 運行的位置:代碼位置 不要輸入的內容:提示符和註 ...