本文介紹了在Java中驗證HMAC SHA1簽名的處理方法,對大家解決問題具有一定的參考價值,需要的朋友們下面隨著小編來一起學習吧!
問題描述
我想知道如何驗證我創建的簽名。我創建簽名的代碼類似于下面的代碼:HMAC-SHA1: How to do it properly in Java?
我發送消息、簽名和公鑰來驗證簽名。公鑰和私鑰是使用KeyPairGenerator生成的。我如何使用我擁有的公鑰來驗證我的簽名?或者,您是否可以推薦一些好的Java庫來簽署和驗證使用HMAC SHA1的簽名?
推薦答案
首先要澄清的是,HMAC代碼不生成簽名。它是Message Authentication Code (MAC)的類型。
后一個鏈接通過以下方式解釋簽名和MAC之間的區別:
MAC不同于數字簽名,因為兩者都生成MAC值
并使用相同的密鑰進行驗證。這意味著發送者
消息的接收者在發起之前必須就相同的密鑰達成一致
通信,就像對稱加密一樣。為了同樣的目的
原因,Mac不提供由提供的不可抵賴性
簽名,特別是在網絡范圍的共享密鑰的情況下
關鍵:任何可以驗證MAC的用戶都可以生成MAC
用于其他消息。相反,生成數字簽名
使用密鑰對的私鑰,這是非對稱加密。
由于該私鑰只對其持有者可訪問,因此數字密鑰
簽字證明一份文件的簽字人不是別人
霍爾德。因此,數字簽名確實提供了不可否認性。然而,
不可否認性可以由安全綁定密鑰的系統來提供
MAC密鑰的用法信息;同一密鑰擁有兩個
人,但其中一個人有可用于MAC的密鑰副本
而另一個在硬件中具有密鑰的副本
僅允許MAC驗證的安全模塊。這是很常見的
在金融行業完成。
因此,為了驗證HMAC,您需要共享用于生成HMAC的密鑰。您將發送消息、HMAC,并且接收方將擁有您用于生成HMAC的相同密鑰。然后,他們可以使用相同的算法從您的消息生成HMAC,并且它應該與您發送的HMAC匹配。公鑰/私鑰(不對稱)不用于此。您需要生成對稱密鑰(如AES),并將其安全地與將生成/驗證HMAC的人員共享。
這將HMAC限制為僅具有integrity和authenticity屬性,而不具有non-repudiation屬性。
上面的引述提到,可以使用硬件安全模塊來強制使用密鑰,然后只要只有一個人可以使用密鑰來生成HMAC,就可以獲得不可否認性。
或者,您可以使用混合方法。使用共享對稱密鑰生成HMAC。最終的HMAC是一個散列。然后,您可以使用您的私鑰(與HMAC中使用的密鑰不同)對該散列進行簽名。擁有對稱密鑰和您的公鑰的第三方可以驗證您簽署了HMAC,并可以使用消息和共享密鑰生成他們自己的HMAC,以確保它匹配。這也將為您提供不可否認性。
如果要采用此方法,請使用JavaSignature類。HMAC算法是SHA-1,假設您的密鑰對是RSA,您可以使用NONEwithRSA簽名算法,因為輸入已經是SHA-1散列。或者,您可以使用SHA1withRSA算法再次對其進行散列。只要您生成簽名并使用相同的算法進行驗證,就應該可以。
byte[] data = hmac.getBytes("UTF-8");
Signature mySig = Signature.getInstance("NONEwithRSA");
mySig.initSign(myPrivateKey);
mySig.update(data);
byte[] sigBytes = mySig.sign();
// And to verify.
Signature mySig2 = Signature.getInstance("NONEwithRSA");
mySig2.initVerify(myPublicKey);
boolean isSigValid = mySig2.verify(sigBytes);
這篇關于在Java中驗證HMAC SHA1簽名的文章就介紹到這了,希望我們推薦的答案對大家有所幫助,
