https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=HMACHMAC - Versionsgeschichte2026-05-27T23:34:12ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=HMAC&diff=378164&oldid=previmported>SchlurcherBot: Bot: http → https2025-12-14T11:45:31Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>Ein '''HMAC''' (''hash-based message authentication code'' (Hash-basierter Nachrichtenauthentifizierungscode), manchmal erweitert als ''keyed-hash message authentication code'' (Schlüssel-Hash-Nachrichtenauthentifizierungscode)) ist ein [[Message Authentication Code]] (MAC), dessen Konstruktion auf einer [[Kryptologische Hash-Funktion|kryptografischen Hash-Funktion]], wie beispielsweise dem [[Secure Hash Algorithm]] (SHA), und einem geheimen [[Schlüssel (Kryptologie)|Schlüssel]] basiert.<ref>Stallings: ''Cryptography and Network Security. Principles and Practice.'' S.&nbsp;399–400.</ref> HMACs werden in <nowiki>RFC&nbsp;2104</nowiki><ref name="RFC2104" /> sowie im [[National Institute of Standards and Technology|NIST]] Standard FIPS 198 spezifiziert und in <nowiki>RFC&nbsp;4868</nowiki><ref>{{RFC-Internet |RFC=4868 |Titel=Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec |Datum=2007-05}}</ref> für den Einsatz in [[IPsec]] erweitert. Zudem können sie beispielsweise in den Protokollen [[Transport Layer Security|TLS]]<ref name="RFC5246" /> und [[Secure Shell|SSH]]<ref name="RFC4253" /> eingesetzt werden.<br />
<br />
== Konstruktion ==<br />
Der HMAC wird aus der Nachricht <math>M</math> und einem [[Geheimer Schlüssel|geheimen Schlüssel]] <math>K</math> mittels der Hash-Funktion <math>\mathrm{H}</math> nach <nowiki>RFC&nbsp;2104</nowiki> wie folgt berechnet.<ref name="RFC2104" /> <math>K</math> wird durch Anhängen von Null-Bytes (''padding'') auf die Blocklänge <math>B</math> der Hash-Funktion aufgefüllt;<ref name="RFC2104" /><ref name="padding">Im Sample Code im Appendix des <nowiki>RFC&nbsp;2104</nowiki> wird für das inner pad „0x36“ und für das outer pad „0x5c“ verwandt</ref> das sind 64 Byte (512 Bit) für viele Hash-Funktionen, z.&nbsp;B. für SHA-256. Für SHA3-256 oder SHAKE256 ist <math>B=136</math> (1088 Bit). Falls die Länge von <math>K</math> größer als die Blocklänge der Hash-Funktion ist, wird <math>K</math> durch <math>\mathrm{H}(K)</math> ersetzt.<ref name="RFC2104" /><br />
<br />
: <math>\mathrm{HMAC}_K(M) = \mathrm{H}\Big( (K \oplus opad ) \;||\; \mathrm{H}\big( (K \oplus ipad ) \;||\; M\big)\Big)</math><br />
<br />
Die Werte <math>opad</math> (''outer pad'', ein String) und <math>ipad</math> (''inner pad'', ein weiterer String) sind dabei Konstanten,<ref name="padding" /> <math>\oplus</math> steht für die bitweise XOR-Operation und <math>\;||\;</math> für die Verknüpfung durch einfaches Zusammensetzen ([[Wort (Theoretische Informatik)#Konkatenation|Konkatenation]]).<br />
<br />
Nach <nowiki>RFC&nbsp;2104</nowiki> sind beide Konstanten ''outer pad'' und ''inner pad'' wie folgt definiert:<ref name="RFC2104" /><br />
: <math>opad = \underbrace{\mathrm{0x5C}\dotso\mathrm{0x5C}}_{\text{B-mal}} \text{ und } ipad = \underbrace{\mathrm{0x36}\dotso\mathrm{0x36}}_{\text{B-mal}}</math>.<br />
<br />
== Entwurfsprinzipien ==<br />
[[Datei:MerkleDamgard.svg|mini|hochkant=1.8|Merkle-Damgård-Konstruktion: Aus den Nachrichtenblöcken wird durch wiederholte Anwendung der Kompressionsfunktion der Hashwert erzeugt.]]<br />
<br />
Die auf den ersten Blick umständlich anmutende Konstruktion resultiert aus der Tatsache, dass die meisten älteren kryptographischen Hashfunktionen auf der [[Merkle-Damgård-Konstruktion]] beruhen, also auf der Iteration einer Kompressionsfunktion.<br />
So gibt es beispielsweise einen einfachen Angriff auf eine Konstruktion eines MACs als <math>H(K \| M)</math>. Aufgrund der Struktur der Hashfunktion kann leicht zu einem beliebigen <math>X</math> und dem Hashwert <math>H(M)</math> einer unbekannten Nachricht M der Hashwert <math>H(M \| X)</math> berechnet werden, wenn die Finalisierungsfunktion fehlt oder leicht umkehrbar ist. Damit kann aber auch <math>H(K \| M)</math> zu <math>H(K \| M \| X)</math> erweitert werden („length-extension“-Angriff).<ref name="BCK96" /><br />
<br />
Wenn die zugrundeliegende Hashfunktion als [[Kollisionsresistenz|kollisionsresistent]] angenommen wird, sind einfache MAC-Konstruktionen möglich, beispielsweise die Berechnung als <math>H(M \| K)</math>. Die Konstruktion ist allerdings unsicher, sobald eine Kollision gefunden ist, denn wenn <math>H(M_1) = H(M_2)</math>, dann ist aufgrund der Struktur unabhängig vom Schlüssel K auch <math>H(M_1 \| K) = H(M_2 \| K)</math>.<ref name="BCK96" /><br />
<br />
Die Idee der HMAC-Konstruktion ist, bei der Sicherheit nicht auf die Kollisionsresistenz der Hashfunktion, sondern auf schwächere Annahmen zu vertrauen. Aus diesem Grund ist ein auf [[Message-Digest Algorithm 5|MD5]] basierender HMAC immer noch sicher, obwohl für MD5 bereits Kollisionen gefunden wurden.<br />
<br />
== Sicherheit ==<br />
<br />
Falls die zugrundeliegende Kompressionsfunktion eine [[pseudozufällige Funktion]] ist, so ist auch die HMAC-Konstruktion eine pseudozufällige Funktion.<ref name="Bell06" /> Da jede pseudozufällige Funktion auch ein guter MAC ist,<ref name="BGM04" /> ist die HMAC-Konstruktion ebenfalls ein guter MAC. Der einfachste Angriff auf einen HMAC ist es, den zugrunde liegenden geheimen Schlüssel <math>K</math> beispielsweise mittels [[Brute-Force-Methode|Brute-Force]] zu erraten.<br />
<br />
<nowiki>RFC&nbsp;6151</nowiki> wurde 2011 veröffentlicht, um die Sicherheit von MD5 und HMAC-MD5 zu bewerten. Für letzteres fasst es zusammen, dass –&nbsp;obwohl MD5 als kompromittiert anzusehen ist&nbsp;– die aktuell bekannten Angriffe gegen HMAC-MD5 keine „praktische Sicherheitslücke“ darstellen, wenn dieses als „Message Authentication Code benutzt wird“. Dennoch fügt es hinzu, dass für neue Protokolldesigns „HMAC-MD5 nicht mehr benutzt werden sollte“.<ref name="RFC6151" /><br />
<br />
== Literatur ==<br />
* {{Literatur<br />
|Autor=William Stallings<br />
|Titel=Cryptography and Network Security. Principles and Practice<br />
|Auflage=5.<br />
|Verlag=Pearson Education, publishing as Prentice Hall<br />
|Datum=2011<br />
|ISBN=978-0-13-705632-3<br />
|Sprache=en<br />
|Kommentar=International Edition}}<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |RFC=2104 |Titel=HMAC: Keyed-Hashing for Message Authentication |Datum=}}<br />
* {{RFC-Internet |RFC=2202 |Titel=Test Cases for HMAC-MD5 and HMAC-SHA-1 |Datum=}}<br />
* [https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.198-1.pdf FIPS PUB 198-1, ''The Keyed-Hash Message Authentication Code''.] (PDF; 126&nbsp;kB) nist.gov<br />
<br />
== Einzelnachweise ==<br />
<references><br />
<ref name="RFC2104"><br />
{{RFC-Internet |RFC=2104 |Titel=HMAC: Keyed-Hashing for Message Authentication |Datum= |Autor=H. Krawczyk, M. Bellare, R. Canetti}}<br />
</ref><br />
<ref name="RFC5246"><br />
{{RFC-Internet |RFC=5246 |Titel=The Transport Layer Security (TLS) Protocol Version 1.2 |Datum= |Autor=T. Dierks, E. Rescorla}} {{" |Sprache=en |Text=The TLS record layer uses a keyed Message Authentication Code (MAC) to protect message integrity. The cipher suites defined in this document use a construction known as HMAC, described in [HMAC], which is based on a hash function. Other cipher suites MAY define their own MAC constructions, if needed.}}<br />
</ref><br />
<ref name="RFC4253"><br />
{{RFC-Internet |RFC=4253 |Titel=The Secure Shell (SSH) Transport Layer Protocol |Datum= |Autor=T. Ylonen, C. Lonvick}} {{" |Sprache=en |Text=The “hmac-*” algorithms are described in [RFC2104].}}<br />
</ref><br />
<ref name="BCK96"><br />
{{Literatur<br />
|Autor=Mihir Bellare, Ran Canetti, Hugo Krawczyk<br />
|Titel=Keying Hash Functions for Message Authentication<br />
|Sammelwerk=Advances in Cryptology – Crypto 96 Proceedings<br />
|Reihe=Lecture Notes in Computer Science<br />
|BandReihe=1109<br />
|Verlag=Springer<br />
|Datum=1996<br />
|Seiten=1–15<br />
|Sprache=en<br />
|Online=[https://cseweb.ucsd.edu/~mihir/papers/kmd5.pdf cseweb.ucsd.edu]<br />
|DOI=10.1007/3-540-68697-5_1}}<br />
</ref><br />
<ref name="Bell06"><br />
{{Literatur<br />
|Autor=Mihir Bellare<br />
|Titel=New Proofs for NMAC and HMAC: Security without Collision-Resistance<br />
|Sammelwerk=Advances in Cryptology – Crypto 2006 Proceedings<br />
|Reihe=Lecture Notes in Computer Science<br />
|BandReihe=4117<br />
|Verlag=Springer<br />
|Datum=2006<br />
|Seiten=602–619<br />
|Sprache=en<br />
|Online=[http://cseweb.ucsd.edu/~mihir/papers/hmac-new.html cseweb.ucsd.edu]<br />
|DOI=10.1007/11818175_36}}<br />
</ref><br />
<ref name="BGM04"><br />
{{Literatur<br />
|Autor=Mihir Bellare, Oded Goldreich, Anton Mityagin<br />
|Titel=The Power of Verification Queries in Message Authentication and Authenticated Encryption<br />
|Datum=2004<br />
|Sprache=en<br />
|Online=https://eprint.iacr.org/2004/309}}<br />
</ref><br />
<ref name="RFC6151"><br />
{{RFC-Internet |RFC=6151 |Titel=Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms |Datum=2011-03 |Autor=Sean Turner, Lily Chen}}<br />
</ref><br />
</references><br />
<br />
[[Kategorie:Symmetrisches Kryptosystem]]<br />
[[Kategorie:Abkürzung]]</div>imported>SchlurcherBot