2

对于大学练习,我想用 python 开发一个简单的 hotp 服务器-客户端系统。在这种情况下,客户端向服务器发送密码和一次性密码。服务器知道秘密,计算当前的热点并比较它收到的值。到目前为止,一切都很好。使用纯文本,这可以很好地工作,并且计算的值与我使用 iOS 应用程序“OTP Auth”时得到的值相同。但也有可能结合 base32 计算 OTP。所以我添加了几行将明文编码为base32,但现在输出不正确。

假设我们使用秘密“1234”,所以明文输出将是“110366”。那行得通。但是,如果我将秘密编码为 base32,则输出应该是“807244”,但我的程序计算的是“896513”。有人知道为什么会这样吗?

我已经尝试使用不同的秘密并在不同的应用程序上进行了检查。总是一样的结果。

import hmac
import hashlib
import array
import base64

counter = 0
digits = 6                      #Anzahl der Zeichen

def hotp(secret, c):
    global digits
    counter = extendCounter(c)
    hmac_sha1 = hmac.new(secret, counter, hashlib.sha1).hexdigest()
    return truncate(hmac_sha1)[-digits:]


def truncate(hmac_sha1):
    offset = int(hmac_sha1[-1], 16)
    binary = int(hmac_sha1[(offset * 2):((offset * 2) + 8)], 16) & 0x7fffffff
    return str(binary)


def extendCounter(long_num):
    byte_array = array.array('B')
    for i in reversed(range(0, 8)):
        byte_array.insert(0, long_num & 0xff)
        long_num >>= 8
    return byte_array


def main():
    secret = "1234"
    bSecret = secret.encode("UTF-8")
    bSecret = base64.b32encode(bSecret)
    otp = hotp(bSecret, counter)
    one_time_password = otp

我希望 807244 作为输出,但输出是 896513

4

2 回答 2

3

首先,重要的是要指出的结果与(就此而言)的结果secret.encode('UTF-8')具有完全相同的类型——它们都返回对象。另外值得注意的是,Python 中的实现没有提到 base64/base32 编码。因此,简短的回答是,您的预期结果仅在共享密钥是 base64/UTF-8 编码的 blob 时才有效。base64.b32encode(bSecret)base64.b64encode(bSecret)byteshmac807244

这个快速片段显示,你真的可以给任何你喜欢的字节hotp,它会产生一些结果(因为hotp在例子中被多次调用,counter被改变了)

# ... everything from your example above ...
secret = "1234"
secret_bytes = secret.encode("UTF-8")
secret_bytes
>>> b'1234'
b32_secret = base64.b32encode(bSecret)
b32_secret
>>> b'GEZDGNA='
b64_secret = base64.b64encode(bSecret)
b64_secret
>>> b'MTIzNA=='
hotp(secret_bytes, counter)  # just a UTF-8 blob works
>>> '110366'
hotp(b32_secret, counter)  # base32/UTF-8 also works
>>> '896513'
hotp(b64_secret, counter)  # base64/UTF-8 works as well
>>> '806744'

如果您有更多关于为什么期望807244base32/UTF8 blob 的详细信息,我很乐意修改这个答案。

于 2019-06-08T11:54:04.910 回答
1

发现错误:不是将秘密转换为 base32,秘密必须是 Base32 解码值。也不是编码这个值,它必须被解码 ("base64.b32decode(bytes(saved_secret, 'utf-8'))")

所以正确的主要看起来像这样:

def main():
    secret = "V6X27L5P" #Base32 value
    secret = base64.b32decode(bytes(secret, 'utf-8'))
    one_time_password = hotp(secret, counter)
于 2019-06-10T19:17:18.913 回答