【发布时间】:2019-03-03 16:13:53
【问题描述】:
这就是我想要做的:
我正在 Hashicorp 保险库中创建一个传输密钥,并将此传输密钥的 hmac_key 发送到我的 elixir/python 客户端。
目的是,elixir/python 客户端将使用这个 hmac_key 生成一个 hmac 摘要并将带有这个摘要的数据发送到我的应用程序。
然后,我的应用程序会将相同的数据和摘要发送到保管库,以验证摘要是否有效。
在 Vault 中生成 Transit 密钥
vault write transit/keys/key1 allow_plaintext_backup=true exportable=true
导出 HMAC KEY 发送给客户端
vault read transit/export/hmac-key/key1
Key Value
--- -----
keys map[1:Ui9+az/p3GdAb1BZ3SJwPkauw2nyT9vm5EE2rzG1OMc=]
name key1
type aes256-gcm96
在 Elixir 中生成 HMAC
我使用保险库中的 HMAC KEY 来生成我的数据的 hmac
iex> secret = "Ui9+az/p3GdAb1BZ3SJwPkauw2nyT9vm5EE2rzG1OMc="
iex> data = "hello-world"
iex> :crypto.hmac(:sha256, Base.decode64!(secret), data) |> Base.encode64
"sEDTm/luPTmJ3AveP+wu8B+iXzJ89Rx43QxiWfT9ysM="
尝试使用 Vault 验证 hmac
vault write transit/verify/key1/sha2-256 input=$(base64 <<< "hello-world") hmac="vault:v1:sEDTm/luPTmJ3AveP+wu8B+iXzJ89Rx43QxiWfT9ysM="
Key Value
--- -----
valid false
当我期望它返回 true 时,它返回 false。
使用 Vault 生成 HMAC
vault write transit/hmac/key1/sha2-256 input=$(base64 <<< "hello-world")
Key Value
--- -----
hmac vault:v1:yuKdushC10olNUHfkIj3QRHnVGvQl80DUtsuKHSnfgo=
显然 Vault 生成的 hmac yuKdushC10olNUHfkIj3QRHnVGvQl80DUtsuKHSnfgo= 与 Elixir 使用相同密钥生成的 hmac ZfF4qLcMfCQ1Ns6xtUiV0grE98S9E6ywaALF2mWGKkI= 不同。
在 Python 中生成 HMAC
import hmac
import hashlib
import base64
secret = base64.b64decode("Ui9+az/p3GdAb1BZ3SJwPkauw2nyT9vm5EE2rzG1OMc=")
data = b'hello-world'
signature = hmac.new(secret, data, digestmod=hashlib.sha256)
print(base64.b64encode(signature.digest()))
# b'sEDTm/luPTmJ3AveP+wu8B+iXzJ89Rx43QxiWfT9ysM='
Python 和 Elixir 的 HMAC 对于给定的密钥是相同的。但是,Vault 中的 HMAC 不是。我在这里做错了什么?保险库是否使用不同的 HMAC KEY 来生成 HMAC?我三重检查了我在 Elixir 和 Python 脚本中是否使用了导出的 HMAC KEY。
感谢任何帮助。
谢谢
【问题讨论】:
标签: python cryptography elixir hmac hashicorp-vault