Генератор HMAC

HMAC (Hash-based Message Authentication Code) — стандартный алгоритм, который объединяет криптографическую хеш-функцию с секретным ключом. Он определён в RFC 2104 и преобразует сообщение любой длины в метку аутентификации фиксированного размера, также называемую кодом аутентификации сообщения или имитовставкой. HMAC-SHA256 — наиболее распространённый современный вариант; HMAC-SHA384 и HMAC-SHA512 дают более длинные метки, а HMAC-SHA1 всё ещё встречается в устаревших протоколах.

Получатель, владеющий тем же секретным ключом, может заново вычислить HMAC и сравнить его с полученной меткой. Совпадение подтверждает, что сообщение не изменилось и было создано стороной, знающей общий ключ. В отличие от обычного хеша SHA-256, злоумышленник не сможет сформировать корректную замену метки без ключа. HMAC — симметричный код аутентификации, а не шифрование и не электронная подпись с открытым ключом.

В упрощённой записи HMAC вычисляется по формуле H((K' ⊕ opad) || H((K' ⊕ ipad) || сообщение)). Сначала ключ приводится к размеру блока выбранной хеш-функции, затем объединяется с двумя разными константами для внутреннего и внешнего хеширования. Такая конструкция устраняет проблему продолжения сообщения, характерную для наивных схем вида hash(ключ || сообщение).

Выбранная хеш-функция определяет полную длину метки: HMAC-SHA1 выдаёт 20 байт (40 hex-символов), HMAC-SHA256 — 32 байта (64 символа), HMAC-SHA384 — 48 байт (96 символов), а HMAC-SHA512 — 64 байта (128 символов). Генератор показывает полную метку шестнадцатеричной строкой в нижнем регистре и не сокращает её.

1. Введите или вставьте исходное сообщение.
2. Выберите HMAC-SHA256, HMAC-SHA1, HMAC-SHA384 или HMAC-SHA512.
3. Укажите представление ключа: текст, hex или Base64.
4. Введите секретный ключ. Калькулятор HMAC обновит результат в формате hex, после чего его можно скопировать.

Сообщение всегда преобразуется в байты UTF-8. В режиме Текст ключ также кодируется в UTF-8, а в режимах Hex и Base64 введённая строка сначала декодируется в исходные байты. На результат влияют пробелы, переносы строк, регистр букв, символы Unicode, выбранный алгоритм и формат ключа.

HMAC часто применяется для аутентификации API-запросов, полезной нагрузки вебхуков, данных сессии и сообщений протоколов. При проверке получатель вычисляет HMAC для точных исходных байтов с общим секретным ключом и сравнивает метки за постоянное время. В рабочих протоколах в подписываемые данные также могут добавляться временная метка или одноразовое значение для защиты от повторной отправки запроса.

Всегда следуйте спецификации интеграции. Схемы подписи API нередко требуют канонической строки запроса, провайдеры вебхуков могут подписывать необработанное тело HTTP-запроса, а JWT HS256 подписывает заголовок и полезную нагрузку в кодировке Base64URL и представляет подпись также в Base64URL, а не в hex. Этот сервис вычисляет HMAC для введённого текста, но не формирует канонические строки конкретных провайдеров, не разбирает HTTP-запросы, не преобразует результат в Base64URL и не проверяет готовую метку автоматически.