HMAC-Generator

Während reguläre Hash-Funktionen wie SHA-256 Datenintegrität beweisen ("diese Datei wurde nicht verändert"), beweisen sie keine Herkunft ("diese Datei kam von jemandem, dem ich vertraue"). HMAC (Hash-based Message Authentication Code) löst das, indem eine Nachricht mit einem geheimen Schlüssel kombiniert wird und eine Signatur erzeugt wird, die nur jemand mit dem geheimen Schlüssel erstellt haben kann. Dieses Tool erstellt HMAC-Signaturen für API-Authentifizierung, Webhook-Verifizierung und digitale Signaturen.

Wie HMAC sich von einfachem Hashing unterscheidet

Wenn Sie eine Nachricht hashen, kann jeder den Hash verifizieren — er berechnet ihn einfach neu. Bei HMAC hashen Sie die Nachricht kombiniert mit einem geheimen Schlüssel. Ein Angreifer, der Nachricht und Hash abfängt, kann ohne Kenntnis des geheimen Schlüssels keinen gültigen HMAC für eine modifizierte Nachricht erstellen.

HMAC in der Praxis

Web-APIs verwenden HMAC häufig zum Signieren von Anfragen. Ein Client hasht seinen Anfrage-Body mit seinem geheimen API-Schlüssel und fügt die Signatur der Anfrage hinzu. Der Server wiederholt die Berechnung und verifiziert die Signatur. Webhook-Anbieter verwenden denselben Ansatz.

Algorithmusauswahl

Das Tool unterstützt HMAC mit SHA-1, SHA-256, SHA-384 und SHA-512. Für neue Anwendungen SHA-256 oder höher bevorzugen.

Schlüsselverwaltung

Die Stärke von HMAC hängt vollständig davon ab, den geheimen Schlüssel geheim zu halten. Wenn Ihr API-Schlüssel kompromittiert wird, können Angreifer gültige Signaturen fälschen. Schlüssel sicher in Umgebungsvariablen speichern, nie in Versionskontrolle einbinden und regelmäßig rotieren.