ブルートフォースHMAC

Question

私はメッセージ用のHMACを持っています。これは、メッセージの整合性を検証するために使用できるキーベースのメッセージダイジェストアルゴリズムです。

私はそれを強要したいと思います。私はHMACメッセージの長さを知っていますが、これは6ですが、秘密鍵は分かりません。このメッセージは、トークンの整合性を検証するために使用されます。サーバー側では

私はPythonとそのライブラリを使用しています

import HMAC 

は私が力をブルートと秘密鍵を取得することはできますか？通常のシステムでは可能ですか？その長さはわずか6であり、私はこのメッセージがこのメッセージが暗号化されている秘密鍵を見ることを強要したい。

Answer 1

HMAC（それはlast_postと呼ぶ）とHMAC（それをlast_post_hmacと呼ぶ）を使って検証された値があると仮定します。

鍵空間を反復：

guessed = hmac.new(token.encode(), last_post).hexdigest() 

と実際のHMAC last_post_hmacこの比較：それぞれについて

for i, token in enumerate(permutations(string.ascii_lowercase, 6)): 

その後は推測HMACを生成tokenを推測しました。一致する場合は、サーバーによって使用される実際のトークンはtokenです。