Это RFC 4226 не так? - PullRequest
       18

Это RFC 4226 не так?

2 голосов
/ 27 февраля 2012

Тестовые значения RFC указывают:

Appendix D - HOTP Algorithm: Test Values

   The following test data uses the ASCII string
   "12345678901234567890" for the secret:

   Secret = 0x3132333435363738393031323334353637383930

   Table 1 details for each count, the intermediate HMAC value.

   Count    Hexadecimal HMAC-SHA-1(secret, count)
   0        cc93cf18508d94934c64b65d8ba7667fb7cde4b0
   1        75a48a19d4cbe100644e8ac1397eea747a2d33ab

Поэтому, если я пытаюсь получить HMAC для 0 в рубине, я получаю:

[20] pry(AuthyOTP)> secret_key = "12345678901234567890"
=> "12345678901234567890"
[22] pry(AuthyOTP)> OpenSSL::HMAC.hexdigest(digest, secret_key, "0")
=> "32a67f374525d32d0ce13e3db42b5b4a3f370cce"

Я ожидал получить cc93cf18508d94934c64b65d8ba7667fb7cde4b0

Итак, я написал реализацию в Java, и я получил то же самое:

Calculation OTP for movingFactor = 0
    2. Calculate Hash = 
      32a67f374525d32d0ce13e3db42b5b4a3f370cce

Так что такое шестнадцатеричный SHA1-HMAC, равный «0», когда секрет «12345678901234567890»

1 Ответ

5 голосов
/ 27 февраля 2012

RFC4226 является правильным.

Вы путаете строки символов с байтами. Вы не должны вычислять hmac-sha1 из '0', вы должны вычислять hmac-sha1 из 8-байтового целого числа, которое начинается с 0. В Java это будет hmac-sha1 из byte [] counter = {0, 0, 0, 0, 0, 0, 0, 0};

...