0

我正在尝试计算 HOTP 的手动 HMAC SHA-1 截断,但它不会返回与我使用源代码计算相同的结果。例如,我有生成 HMAC SHA-1 的代码:

$hash = hash_hmac('sha1','375317186160478973','test');

它会给我 HMAC = c359e469b8ef0939f83e79a300b20a6ef4b53a05

并将其划分为 [19] 数组,因此它将是:

c3 59 e4 69 b8 ef 09 39 f8 3e 79 a3 00 b2 0a 6e f4 b5 3a 05

从最后一个数组中,我有 05(二进制为 101),然后执行 101 & 0xf = 5

所以我从第 5 个数组 ef (11101111) 09 (1001) 39 (111001) f8 (11111000) 开始计数

之后执行 (((11101111) & 0x7f) << 24) | (((1001) & 0xff) << 16) | (((111001) & 0xff) << 8) | ((11111000) & 0xff)) % 战俘 (10,6)

它给了我一个结果:56024

但如果我使用这段代码:

$offset = ($hash[19]) & 0xf;
$otp    = (((($hash[$offset + 0]) & 0x7f) << 24) |
          ((($hash[$offset + 1]) & 0xff) << 16) |
          ((($hash[$offset + 2]) & 0xff) << 8) |
          (($hash[$offset + 3]) & 0xff)) % pow(10, 6);

它给了我一个结果:599808

如果我将二进制或十进制值写为数组中的值,将显示相同的不同结果。有人可以帮我解释我的错在哪里,这样我就可以计算手册和源代码,并给我一个相同的 HOTP 值。谢谢

4

1 回答 1

0

Apa kabar :) 首先,SHA-1 的大小是 160 位(20 字节)而不是 19。您使用的是 PHP 对吗?问题是,像这样访问数组是行不通的,因为你总是只阅读字符:

$hash[5] // (4)
$hash[6] // (6)
$hash[7] // (9)
$hash[8] // (b)

以下应该工作:

((intval(substr($hash, ($offset + 0) * 2, 2), 16) & 0x7f) << 24) |
((intval(substr($hash, ($offset + 1) * 2, 2), 16) & 0xff) << 16) |
((intval(substr($hash, ($offset + 2) * 2, 2), 16) & 0xff) << 8) |
(intval(substr($hash, ($offset + 3) * 2, 2), 16) & 0xff);

重要的是,由于$hashphp 似乎是一个字符串,因此您不能简单地将其作为数组访问,因为这将返回错误的值。但是您可以借助该substr方法获取字符串的组成部分。您总是必须读取 2 个字节并将其转换为整数。Sicne 字符串包含十六进制值,您必须使用 16 进制intval

PS:我假设哈希字符串正好是 20 个字节长。

摘要:例如,$hash[5] 不会为您提供预期的数组值 0xEF,但它会为您提供第 5 个字符串字符“4”(子字符串 E4 的一部分)。

于 2014-12-01T08:25:06.400 回答