信息摘要算法之六：HKDF算法分析与实现

HKDF是一种特定的键衍生函数(KDF)，即初始键控材料的功能，KDF从其中派生出一个或多个密码强大的密钥。在此我们想要描述的是基于HMAC的HKDF。

1、HKDF概述

密钥派生函数(KDF)是密码系统的基本组成部分。它的目标是获取一些初始的密钥材料，并从中派生出一个或多个安全强度很大的密钥。

我们将要介绍的是基于HMAC的KDF，称之为HKDF，它可以应用于各种协议和应用程序的构建。HKDF在逻辑上由两个部分组成。第一个部分采用输入密钥材料和“提取”，它是一个固定长度的伪随机密钥K。第二部分则将密钥扩展为几个随机密钥，并以我们需要的长度输出。

在许多应用程序中，输入的密钥材料不一定是均匀分布的，而且攻击者可能对它有一定的了解，甚至可以部分控制它。因此，“提取”阶段的目标是将输入密钥材料的可能分散的熵“集中”到一个短的，但强度高的伪随机密钥。在某些应用程序中，输入可能已经是一个好的伪随机密钥；在这些情况下，“提取”部分是不必要的，“扩展”部分可以单独使用。

第二阶段“扩展”伪随机密钥到所需的长度；输出密钥的数量和长度取决于所需密钥的具体加密算法。

2、算法描述

HKDF就是利用实例化了的哈希函数的HMAC来实现密钥生成。HMAC有两个必要的参数:第一个是密钥，第二个是输入(或消息)。当消息由几个元素组成时，我们在第二个参数中使用串联(表示|);例如，HMAC(K, elem1|elem2|elem3)。

一般来说，HKDF算法所做的工作分为2步，其一称之为提取；其二称之为扩展。接下来我们说明这两步。

（1）、提取

所谓提取就是将用户输入的密钥尽量的伪随机化。一般是使用一个哈希函数来实现，具体那种更具需要在HMAC中确定。这一过程可以表示如下：

HKDF-Extract(salt, IKM)得到PRK，而PRK的计算公式如下：

PRK = HMAC-Hash(salt, IKM) ，这其中有2个输入和1个输出，

Salt，输入，加盐操作的盐，如果不提供则全部初始化为0的字符串，长度则为所采用哈希函数的散列值长度。

IKM，输入，数额udemiyao材料。

PRK，输出，伪随机化后的密钥，长度则为所采用哈希函数的散列值长度。

需要注意的是，在这一步中“IKM”被用作HMAC输入，而不是HMAC密钥。

（2）、扩展

所谓扩展，其实就是通过一系列的哈希运算将密钥扩展到我们需要的长度。这个长度我们记为L。这一过程标识如下：

HKDF-Expand(PRK, info, L) -> OKM，其中有3个输入量和1个输出量，其中：

PRK，输入，一般是在提取阶段得到的输出，是一个伪随机的密钥，长度不小于所采用的哈希算法的输出摘要长度。

Info，输入，可选上下文和应用程序特定信息(可以是零长度字符串)

L，输入，以字节计算的密钥原料的长度，一般不长于哈希函数输出摘要长度的255倍。

OKM，输出，长度为L的密钥材料输出，其计算方式如下：

计算一系列的哈希值，我们记为T(n)，其中n为0-255的整数，具体取值由所计算的长度L来确定。n的最大值为：L除以所用哈希函数输出摘要的长度，再向上取整，我们将其记为N。

T(0) = 长度为0的空字符串

T(1) = HMAC-Hash(PRK, T(0) | info | 0x01)

T(2) = HMAC-Hash(PRK, T(1) | info | 0x02)

T(3) = HMAC-Hash(PRK, T(2) | info | 0x03)

直到T(N)为止，需要注意的是，每个哈希操作都会串接一个字节的常量，从1到N，所以最大的N值只能到255。然后将计算得到的这些T(n)串接起来，我们记为T，即：

T = T(1) | T(2) | T(3) | ... | T(N)

而我们想要获得的OKM正是取T的前L个字节组成。这要我们就得到了我们想要的密钥材料。

3、代码实现

上面我们已经描述了HKDF的实现过程，接下来我们将实现这一过程。首先，我们任然是定义一个上下文结构。

/** 该结构将为HKDF的提取-扩展秘钥派生函数提供上下文信息*/

typedef struct HKDFContext {

  int whichSha;

  HMACContext hmacContext;

  int hashSize; 

  unsigned char prk[SHAMaxHashSize];

  int Computed;

  int Corrupted; 

} HKDFContext;

接着我们实现HDKF的抽取函数，该函数的实现如下：

int hkdfExtract(SHAversion whichSha,

                const unsigned char *salt, int salt_len,

                const unsigned char *ikm, int ikm_len,

                uint8_t prk[SHAMaxHashSize])

{

  unsigned char nullSalt[SHAMaxHashSize];

  if (salt == 0)

  {

    salt = nullSalt;

    salt_len = SHAHashSize(whichSha);

    memset(nullSalt,'\0',salt_len);

  }

  else if (salt_len < 0)

  {

    return shaBadParam;

  }

  return hmac(whichSha, ikm, ikm_len, salt, salt_len, prk);

}

还需要实现HKDF扩展函数，该函数的实现如下：

int hkdfExpand(SHAversion whichSha, const uint8_t prk[ ], int prk_len,

               const unsigned char *info, int info_len,

               uint8_t okm[ ], int okm_len)

{

  int hash_len, N;

  unsigned char T[SHAMaxHashSize];

  int Tlen, where, i;

 

  if (info == 0)

  {

    info = (const unsigned char *)"";

    info_len = 0;

  }

  else if (info_len < 0)

  {

    return shaBadParam;

  }

 

  if (okm_len <= 0) return shaBadParam;

  if (!okm) return shaBadParam;

  hash_len = SHAHashSize(whichSha);

  if (prk_len < hash_len) return shaBadParam;

  N = okm_len / hash_len;

  if ((okm_len % hash_len) != 0) N++;

  if (N > 255) return shaBadParam;

  Tlen = 0;

  where = 0;

 

  for (i = 1; i <= N; i++)

  {

    HMACContext context;

    unsigned char c = i;

    int ret = hmacReset(&context, whichSha, prk, prk_len) ||

              hmacInput(&context, T, Tlen) ||

              hmacInput(&context, info, info_len) ||

              hmacInput(&context, &c, 1) ||

              hmacResult(&context, T);

    if (ret != shaSuccess) return ret;

    memcpy(okm + where, T,(i != N) ? hash_len : (okm_len - where));

    where += hash_len;

    Tlen = hash_len;

  }

  return shaSuccess;

}

至此我们就实现了HKDF的全部功能。

4、结果

前面我们已经实现了HKDF，我们还需要对其进行验证，我们采用SHA-256哈希函数，分别生成40位和80为的密钥。

40位密钥：

80位密钥：

 

很明显，40位的密钥和80位的密钥前40位都是相同的。

欢迎关注：