本文介紹了在Java中驗(yàn)證HMAC SHA1簽名的處理方法,對(duì)大家解決問(wèn)題具有一定的參考價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)吧!
問(wèn)題描述
我想知道如何驗(yàn)證我創(chuàng)建的簽名。我創(chuàng)建簽名的代碼類似于下面的代碼:HMAC-SHA1: How to do it properly in Java?
我發(fā)送消息、簽名和公鑰來(lái)驗(yàn)證簽名。公鑰和私鑰是使用KeyPairGenerator生成的。我如何使用我擁有的公鑰來(lái)驗(yàn)證我的簽名?或者,您是否可以推薦一些好的Java庫(kù)來(lái)簽署和驗(yàn)證使用HMAC SHA1的簽名?
推薦答案
首先要澄清的是,HMAC代碼不生成簽名。它是Message Authentication Code (MAC)的類型。
后一個(gè)鏈接通過(guò)以下方式解釋簽名和MAC之間的區(qū)別:
MAC不同于數(shù)字簽名,因?yàn)閮烧叨忌蒑AC值
并使用相同的密鑰進(jìn)行驗(yàn)證。這意味著發(fā)送者
消息的接收者在發(fā)起之前必須就相同的密鑰達(dá)成一致
通信,就像對(duì)稱加密一樣。為了同樣的目的
原因,Mac不提供由提供的不可抵賴性
簽名,特別是在網(wǎng)絡(luò)范圍的共享密鑰的情況下
關(guān)鍵:任何可以驗(yàn)證MAC的用戶都可以生成MAC
用于其他消息。相反,生成數(shù)字簽名
使用密鑰對(duì)的私鑰,這是非對(duì)稱加密。
由于該私鑰只對(duì)其持有者可訪問(wèn),因此數(shù)字密鑰
簽字證明一份文件的簽字人不是別人
霍爾德。因此,數(shù)字簽名確實(shí)提供了不可否認(rèn)性。然而,
不可否認(rèn)性可以由安全綁定密鑰的系統(tǒng)來(lái)提供
MAC密鑰的用法信息;同一密鑰擁有兩個(gè)
人,但其中一個(gè)人有可用于MAC的密鑰副本
而另一個(gè)在硬件中具有密鑰的副本
僅允許MAC驗(yàn)證的安全模塊。這是很常見(jiàn)的
在金融行業(yè)完成。
因此,為了驗(yàn)證HMAC,您需要共享用于生成HMAC的密鑰。您將發(fā)送消息、HMAC,并且接收方將擁有您用于生成HMAC的相同密鑰。然后,他們可以使用相同的算法從您的消息生成HMAC,并且它應(yīng)該與您發(fā)送的HMAC匹配。公鑰/私鑰(不對(duì)稱)不用于此。您需要生成對(duì)稱密鑰(如AES),并將其安全地與將生成/驗(yàn)證HMAC的人員共享。
這將HMAC限制為僅具有integrity和authenticity屬性,而不具有non-repudiation屬性。
上面的引述提到,可以使用硬件安全模塊來(lái)強(qiáng)制使用密鑰,然后只要只有一個(gè)人可以使用密鑰來(lái)生成HMAC,就可以獲得不可否認(rèn)性。
或者,您可以使用混合方法。使用共享對(duì)稱密鑰生成HMAC。最終的HMAC是一個(gè)散列。然后,您可以使用您的私鑰(與HMAC中使用的密鑰不同)對(duì)該散列進(jìn)行簽名。擁有對(duì)稱密鑰和您的公鑰的第三方可以驗(yàn)證您簽署了HMAC,并可以使用消息和共享密鑰生成他們自己的HMAC,以確保它匹配。這也將為您提供不可否認(rèn)性。
如果要采用此方法,請(qǐng)使用JavaSignature類。HMAC算法是SHA-1,假設(shè)您的密鑰對(duì)是RSA,您可以使用NONEwithRSA簽名算法,因?yàn)檩斎胍呀?jīng)是SHA-1散列。或者,您可以使用SHA1withRSA算法再次對(duì)其進(jìn)行散列。只要您生成簽名并使用相同的算法進(jìn)行驗(yàn)證,就應(yīng)該可以。
byte[] data = hmac.getBytes("UTF-8");
Signature mySig = Signature.getInstance("NONEwithRSA");
mySig.initSign(myPrivateKey);
mySig.update(data);
byte[] sigBytes = mySig.sign();
// And to verify.
Signature mySig2 = Signature.getInstance("NONEwithRSA");
mySig2.initVerify(myPublicKey);
boolean isSigValid = mySig2.verify(sigBytes);
這篇關(guān)于在Java中驗(yàn)證HMAC SHA1簽名的文章就介紹到這了,希望我們推薦的答案對(duì)大家有所幫助,
