信息摘要算法之六:HKDF算法分析与实现

HKDF是一种特定的键衍生函数(KDF),即初始键控材料的功能,KDF从其中派生出一个或多个密码强大的密钥。在此我们想要描述的是基于HMAC的HKDF。

1HKDF概述

密钥派生函数(KDF)是密码系统的基本组成部分。它的目标是获取一些初始的密钥材料,并从中派生出一个或多个安全强度很大的密钥。

我们将要介绍的是基于HMAC的KDF,称之为HKDF,它可以应用于各种协议和应用程序的构建。HKDF在逻辑上由两个部分组成。第一个部分采用输入密钥材料和“提取”,它是一个固定长度的伪随机密钥K。第二部分则将密钥扩展为几个随机密钥,并以我们需要的长度输出。

在许多应用程序中,输入的密钥材料不一定是均匀分布的,而且攻击者可能对它有一定的了解,甚至可以部分控制它。因此,“提取”阶段的目标是将输入密钥材料的可能分散的熵“集中”到一个短的,但强度高的伪随机密钥。在某些应用程序中,输入可能已经是一个好的伪随机密钥;在这些情况下,“提取”部分是不必要的,“扩展”部分可以单独使用。

第二阶段“扩展”伪随机密钥到所需的长度;输出密钥的数量和长度取决于所需密钥的具体加密算法。

2、算法描述

HKDF就是利用实例化了的哈希函数的HMAC来实现密钥生成。HMAC有两个必要的参数:第一个是密钥,第二个是输入(或消息)。当消息由几个元素组成时,我们在第二个参数中使用串联(表示|);例如,HMAC(K, elem1|elem2|elem3)。

一般来说,HKDF算法所做的工作分为2步,其一称之为提取;其二称之为扩展。接下来我们说明这两步。

(1)、提取

所谓提取就是将用户输入的密钥尽量的伪随机化。一般是使用一个哈希函数来实现,具体那种更具需要在HMAC中确定。这一过程可以表示如下:

HKDF-Extract(salt, IKM)得到PRK,而PRK的计算公式如下:

PRK = HMAC-Hash(salt, IKM) ,这其中有2个输入和1个输出,

Salt,输入,加盐操作的盐,如果不提供则全部初始化为0的字符串,长度则为所采用哈希函数的散列值长度。

IKM,输入,数额udemiyao材料。

PRK,输出,伪随机化后的密钥,长度则为所采用哈希函数的散列值长度。

需要注意的是,在这一步中“IKM”被用作HMAC输入,而不是HMAC密钥。

(2)、扩展

所谓扩展,其实就是通过一系列的哈希运算将密钥扩展到我们需要的长度。这个长度我们记为L。这一过程标识如下:

HKDF-Expand(PRK, info, L) -> OKM,其中有3个输入量和1个输出量,其中:

PRK,输入,一般是在提取阶段得到的输出,是一个伪随机的密钥,长度不小于所采用的哈希算法的输出摘要长度。

Info,输入,可选上下文和应用程序特定信息(可以是零长度字符串)

L,输入,以字节计算的密钥原料的长度,一般不长于哈希函数输出摘要长度的255倍。

OKM,输出,长度为L的密钥材料输出,其计算方式如下:

计算一系列的哈希值,我们记为T(n),其中n为0-255的整数,具体取值由所计算的长度L来确定。n的最大值为:L除以所用哈希函数输出摘要的长度,再向上取整,我们将其记为N。

T(0) = 长度为0的空字符串

T(1) = HMAC-Hash(PRK, T(0) | info | 0x01)

T(2) = HMAC-Hash(PRK, T(1) | info | 0x02)

T(3) = HMAC-Hash(PRK, T(2) | info | 0x03)

直到T(N)为止,需要注意的是,每个哈希操作都会串接一个字节的常量,从1到N,所以最大的N值只能到255。然后将计算得到的这些T(n)串接起来,我们记为T,即:

T = T(1) | T(2) | T(3) | ... | T(N)

而我们想要获得的OKM正是取T的前L个字节组成。这要我们就得到了我们想要的密钥材料。

3、代码实现

上面我们已经描述了HKDF的实现过程,接下来我们将实现这一过程。首先,我们任然是定义一个上下文结构。

/** 该结构将为HKDF的提取-扩展秘钥派生函数提供上下文信息*/

typedef struct HKDFContext {

int whichSha;

HMACContext hmacContext;

int hashSize;

unsigned char prk[SHAMaxHashSize];

int Computed;

int Corrupted;

} HKDFContext;

接着我们实现HDKF的抽取函数,该函数的实现如下:

int hkdfExtract(SHAversion whichSha,

const unsigned char *salt, int salt_len,

const unsigned char *ikm, int ikm_len,

uint8_t prk[SHAMaxHashSize])

{

unsigned char nullSalt[SHAMaxHashSize];

if (salt == 0)

{

salt = nullSalt;

salt_len = SHAHashSize(whichSha);

memset(nullSalt,'\0',salt_len);

}

else if (salt_len < 0)

{

return shaBadParam;

}

return hmac(whichSha, ikm, ikm_len, salt, salt_len, prk);

}

还需要实现HKDF扩展函数,该函数的实现如下:

int hkdfExpand(SHAversion whichSha, const uint8_t prk[ ], int prk_len,

const unsigned char *info, int info_len,

uint8_t okm[ ], int okm_len)

{

int hash_len, N;

unsigned char T[SHAMaxHashSize];

int Tlen, where, i;

if (info == 0)

{

info = (const unsigned char *)"";

info_len = 0;

}

else if (info_len < 0)

{

return shaBadParam;

}

if (okm_len <= 0) return shaBadParam;

if (!okm) return shaBadParam;

hash_len = SHAHashSize(whichSha);

if (prk_len < hash_len) return shaBadParam;

N = okm_len / hash_len;

if ((okm_len % hash_len) != 0) N++;

if (N > 255) return shaBadParam;

Tlen = 0;

where = 0;

for (i = 1; i <= N; i++)

{

HMACContext context;

unsigned char c = i;

int ret = hmacReset(&context, whichSha, prk, prk_len) ||

hmacInput(&context, T, Tlen) ||

hmacInput(&context, info, info_len) ||

hmacInput(&context, &c, 1) ||

hmacResult(&context, T);

if (ret != shaSuccess) return ret;

memcpy(okm + where, T,(i != N) ? hash_len : (okm_len - where));

where += hash_len;

Tlen = hash_len;

}

return shaSuccess;

}

至此我们就实现了HKDF的全部功能。

4、结果

前面我们已经实现了HKDF,我们还需要对其进行验证,我们采用SHA-256哈希函数,分别生成40位和80为的密钥。

40位密钥:

信息摘要算法之六:HKDF算法分析与实现

80位密钥:

信息摘要算法之六:HKDF算法分析与实现

很明显,40位的密钥和80位的密钥前40位都是相同的。

欢迎关注:

信息摘要算法之六:HKDF算法分析与实现

上一篇:【转】hibernate.hbm.xml详解


下一篇:html5 localStorage和sessionStorage