„HMAC“ – Versionsunterschied

Ein Keyed-Hash Message Authentication Code (HMAC) ist eine Art Message Authentication Code (MAC), dessen Konstruktion auf einer kryptografischen Hash-Funktion basiert.^[1] HMACs werden in RFC 2104^[2] sowie im NIST Standard FIPS 198 spezifiziert und in RFC 4868^[3] für den Einsatz in IPsec erweitert. Zudem können sie beispielsweise in den Protokollen TLS^[4] und SSH^[5] eingesetzt werden.

Konstruktion

Der HMAC wird aus der Nachricht ${\displaystyle N}$ und einem geheimen Schlüssel ${\displaystyle K}$ mittels der Hash-Funktion ${\displaystyle \mathrm {H} }$ nach RFC 2104 wie folgt berechnet.^[2] ${\displaystyle K}$ wird auf die Blocklänge ${\displaystyle B}$ der Hash-Funktion (512 Bit für die meisten gängigen Hash-Funktionen) aufgefüllt. Falls die Länge von ${\displaystyle K}$ größer als die Blocklänge der Hash-Funktion ist, wird ${\displaystyle K}$ durch ${\displaystyle \mathrm {H} (K)}$ ersetzt.

${\displaystyle \mathrm {HMAC} _{K}(M)=\mathrm {H} {\Big (}(K\oplus opad)\;||\;\mathrm {H} {\big (}(K\oplus ipad)\;||\;N{\big )}{\Big )}}$

Die Werte ${\displaystyle opad}$ und ${\displaystyle ipad}$ sind dabei Konstanten, ${\displaystyle \oplus }$ steht für die bitweise XOR-Operation und ${\displaystyle \;||\;}$ für die Verknüpfung durch einfaches Zusammensetzen (Konkatenation).

Nach RFC 2104 sind beide Konstanten wie folgt definiert:^[2]

${\displaystyle opad=\underbrace {\mathrm {0x5C} \dotso \mathrm {0x5C} } _{B{\text{-mal}}}{\text{ und }}ipad=\underbrace {\mathrm {0x36} \dotso \mathrm {0x36} } _{B{\text{-mal}}}}$.

Entwurfsprinzipien

Die auf den ersten Blick umständlich anmutende Konstruktion resultiert aus der Tatsache, dass fast alle kryptographischen Hashfunktionen auf der Merkle-Damgård-Konstruktion beruhen, also auf der Iteration einer Kompressionsfunktion. So gibt es beispielsweise einen einfachen Angriff auf eine Konstruktion eines MACs als ${\displaystyle H(K\|M)}$. Aufgrund der Struktur der Hashfunktion kann leicht zu einem beliebigen X und dem Hashwert ${\displaystyle H(M)}$ einer unbekannten Nachricht M der Hashwert ${\displaystyle H(M\|X)}$ berechnet werden, wenn die Finalisierungsfunktion fehlt oder leicht umkehrbar ist. Damit kann aber auch ${\displaystyle H(K\|M)}$ zu ${\displaystyle H(K\|M\|X)}$ erweitert werden.^[6]

Wenn die zugrundeliegende Hashfunktion als kollisionsresistent angenommen wird, sind einfache MAC-Konstruktionen möglich, beispielsweise die Berechnung als ${\displaystyle H(M\|K)}$. Die Konstruktion ist allerdings unsicher sobald eine Kollision gefunden ist, denn wenn ${\displaystyle H(M_{1})=H(M_{2})}$, dann ist aufgrund der Struktur unabhängig vom Schlüssel K auch ${\displaystyle H(M_{1}\|K)=H(M_{2}\|K)}$.^[6]

Die Idee der HMAC-Konstruktion ist, bei der Sicherheit nicht auf die Kollisionsresistenz der Hashfunktion, sondern auf schwächere Annahmen zu vertrauen. Aus diesem Grund ist ein auf MD5 basierender HMAC immer noch sicher, obwohl für MD5 bereits Kollisionen gefunden wurden.

Sicherheit

Falls die zugrundeliegende Kompressionsfunktion eine pseudozufällige Funktion ist, so ist auch die HMAC-Konstruktion eine pseudozufällige Funktion.^[7] Da jede pseudozufällige Funktion auch ein guter MAC ist,^[8] ist die HMAC-Konstruktion ebenfalls ein guter MAC.

Literatur

• William Stallings: Cryptography and Network Security: Principles and Practice. 5. Auflage. (International Edition), Pearson Education, publishing as Prentice Hall, 2011, ISBN 978-0-13-705632-3.

Weblinks

• RFC 2104, HMAC: Keyed-Hashing for Message Authentication
• RFC 2202, HMAC-MD5 and HMAC-SHA1 Test Vectors, HMAC-SHA1 implementation in C
• FIPS PUB 198, The Keyed-Hash Message Authentication Code (PDF, 173 KiB)

Einzelnachweise

1. ↑ Stallings: Cryptography and Network Security: Principles and Practice. S. 399–400.
2. ↑ ^{a b c} H. Krawczyk, M. Bellare, R. Canetti: RFC 2104, HMAC: Keyed-Hashing for Message Authentication. Linktext ungültig IETF, abgerufen am 11. November 2011. 
3. ↑ S. Kelly, S. Frankel: RFC 4868, Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec. Linktext ungültig IETF, abgerufen am 11. November 2011. 
4. ↑ T. Dierks, E. Rescorla: RFC 5246, The Transport Layer Security (TLS) Protocol Version 1.2. Linktext ungültig IETF, S. 14, abgerufen am 11. November 2011: „The TLS record layer uses a keyed Message Authentication Code (MAC) to protect message integrity. The cipher suites defined in this document use a construction known as HMAC, described in [HMAC], which is based on a hash function. Other cipher suites MAY define their own MAC constructions, if needed.“ 
5. ↑ T. Ylonen, C. Lonvick, Ed.: RFC 4253, The Secure Shell (SSH) Transport Layer Protocol. Linktext ungültig IETF, S. 12, abgerufen am 11. November 2011: „The "hmac-*" algorithms are described in [RFC2104].“ 
6. ↑ ^{a b} Mihir Bellare, Ran Canetti, and Hugo Krawczyk: Keying hash functions for message authentication. In: Advances in Cryptology – Crypto 96 Proceedings. LNCS 1109. Springer, 1996, S. 1–15, doi:10.1007/3-540-68697-5_1 (Link). 
7. ↑ Mihir Bellare: New Proofs for NMAC and HMAC: Security without Collision-Resistance. In: Advances in Cryptology – Crypto 2006 Proceedings. LNCS 4117. Springer, 2006, S. 602–619, doi:10.1007/11818175_36 (Link). 
8. ↑ Mihir Bellare, Oded Goldreich und Anton Mityagin: The Power of Verification Queries in Message Authentication and Authenticated Encryption. 2004 (iacr.org).