LabEx
EntrarÚnete

Autenticación de Mensajes con HMAC en Criptografía

LinuxBeginner
Practicar Ahora

Introducción

En el mundo de la comunicación digital, es crucial asegurar que los mensajes no solo se mantengan privados, sino que también no hayan sido alterados durante la transmisión (integridad) y que realmente provengan del remitente declarado (autenticidad). Si bien las funciones hash simples pueden verificar la corrupción accidental de datos, no pueden prevenir la manipulación maliciosa, ya que cualquiera puede recalcular el hash de un mensaje modificado.

Aquí es donde entra en juego HMAC (Código de Autenticación de Mensajes basado en Hash). HMAC es un tipo específico de Código de Autenticación de Mensajes (MAC) que combina una función hash criptográfica (como SHA-256) con una clave secreta. Solo las partes que poseen la clave secreta pueden generar y verificar el HMAC para un mensaje dado. Este proceso proporciona tanto integridad de datos como autenticidad.

En este laboratorio, obtendrá experiencia práctica con HMAC. Comenzará comprendiendo el concepto, luego utilizará la potente herramienta de línea de comandos openssl para generar claves y calcular HMACs. Finalmente, verá cómo implementar HMAC en un script de Python, una tarea común en el desarrollo de aplicaciones.

Este es un Guided Lab, que proporciona instrucciones paso a paso para ayudarte a aprender y practicar. Sigue las instrucciones cuidadosamente para completar cada paso y obtener experiencia práctica. Los datos históricos muestran que este es un laboratorio de nivel principiante con una tasa de finalización del 98%. Ha recibido una tasa de reseñas positivas del 100% por parte de los estudiantes.

Introducción a HMAC

En este paso, cubriremos el concepto fundamental de HMAC y por qué es esencial para la comunicación segura.

Una función hash estándar, como SHA-256, toma un mensaje de entrada y produce una cadena de caracteres de tamaño fijo, conocida como hash o digest. Si incluso un solo bit del mensaje cambia, el hash resultante será completamente diferente. Esto es excelente para verificar la integridad de los datos. Sin embargo, no proporciona autenticidad. Si un atacante intercepta y modifica un mensaje, simplemente puede calcular un nuevo hash para el mensaje manipulado y enviarlo. El receptor no tendría forma de saber que el mensaje fue alterado.

HMAC resuelve este problema introduciendo una clave simétrica secreta en el proceso de hashing. Una clave simétrica es una pieza de información secreta compartida solo entre el remitente y el receptor previsto.

El proceso HMAC funciona aproximadamente de la siguiente manera:

  1. El remitente combina la clave secreta con el mensaje.
  2. Se aplica una función hash (por ejemplo, SHA-256) a esta combinación.
  3. El hash resultante, ahora llamado HMAC, se envía junto con el mensaje original.

Cuando el receptor recibe el mensaje y el HMAC, realiza el mismo cálculo utilizando su copia de la clave secreta.

  • Si el HMAC calculado coincide con el HMAC recibido, el receptor sabe que el mensaje no ha sido alterado (integridad) y que proviene de alguien que posee la clave secreta (autenticidad).
  • Si los HMAC no coinciden, se considera que el mensaje está comprometido y debe descartarse.

Este paso es puramente conceptual. En los pasos siguientes, pondrá esta teoría en práctica.

Generar Clave Secreta HMAC

En este paso, generará una clave secreta aleatoria y segura que es la base de la seguridad de HMAC. Una clave predecible permitiría a un atacante falsificar HMACs. Utilizaremos la herramienta openssl, una utilidad versátil de línea de comandos para criptografía.

Usaremos el comando openssl rand para generar datos aleatorios.

  • -hex: Esta opción le indica a openssl que muestre los datos aleatorios como una cadena hexadecimal.
  • 32: Esto especifica el número de bytes aleatorios a generar. 32 bytes son equivalentes a 256 bits, que es una longitud de clave fuerte y comúnmente utilizada, especialmente cuando se combina con el algoritmo hash SHA-256.

Para facilitar el uso de la clave en comandos posteriores, la generaremos y la almacenaremos en una variable de entorno llamada HMAC_KEY. Ejecute el siguiente comando en su terminal:

export HMAC_KEY=$(openssl rand -hex 32)

Este comando ejecuta openssl rand -hex 32, y su salida (la clave hexadecimal) es capturada y asignada a la variable HMAC_KEY.

Puede ver la clave que acaba de generar usando el comando echo:

echo $HMAC_KEY

Debería ver una cadena larga de caracteres hexadecimales. Su clave será única.

0db348c78473ce8460416f875cd87239d0f5f66fbe5103ba4b5c84cf2cd76914

Ahora que tiene una clave secreta, está listo para crear un HMAC.

Calcular HMAC-SHA256

En este paso, calculará un HMAC para un mensaje de muestra utilizando la clave que generó. Primero, creemos un archivo que contenga nuestro mensaje.

Usaremos el comando echo para crear un archivo llamado message.txt. La opción -n es importante ya que evita que echo añada un carácter de nueva línea al final de la cadena, lo que alteraría el contenido y, por lo tanto, el HMAC final.

echo -n "This is a secret message." > message.txt

Ahora, con el mensaje y la clave, podemos calcular el HMAC. Usaremos el comando openssl dgst, que se utiliza para calcular message digests (hashes).

  • -sha256: Especifica que queremos usar el algoritmo hash SHA-256.
  • -mac hmac: Especifica que queremos calcular un Código de Autenticación de Mensaje (MAC) usando el método HMAC.
  • -macopt hexkey:$HMAC_KEY: Esto proporciona las opciones para el algoritmo MAC. Aquí, especificamos que nuestra clave está en formato hexadecimal (hexkey) y pasamos la clave misma usando la variable de entorno $HMAC_KEY que creamos anteriormente.
  • message.txt: El archivo de entrada que contiene los datos a autenticar.

Ejecute el siguiente comando para generar el HMAC:

openssl dgst -sha256 -mac hmac -macopt hexkey:$HMAC_KEY message.txt

La salida será el digest HMAC para su mensaje, calculado con su clave secreta. El formato de salida mostrará el algoritmo utilizado y el valor HMAC resultante.

HMAC-SHA2-256(message.txt)= 214fbb56f716dfe1c2f4a60615a5b901b263fd74c9678b2aef4f01779b34dea8

Este valor HMAC es lo que enviaría junto con su mensaje a un destinatario que también tenga la clave secreta.

Verificar Integridad HMAC

En este paso, verá el proceso de verificación de HMAC en acción. Observará cómo el uso de la clave correcta tiene éxito, mientras que el uso de una clave incorrecta o un mensaje modificado resulta en un fallo.

Verificación con la Clave Correcta

La verificación no es un comando especial; es simplemente el acto de que el receptor recalcule el HMAC por su cuenta y lo compare con el que recibió. Si vuelve a ejecutar el comando del paso anterior, obtendrá exactamente el mismo valor HMAC. Esto confirma que mientras la clave y el mensaje no cambien, el HMAC es consistente.

Observando el Fallo con una Clave Incorrecta

Ahora, simularemos un atacante o una configuración incorrecta intentando verificar el mensaje con una clave diferente. Primero, genere una nueva clave "incorrecta":

export WRONG_KEY=$(openssl rand -hex 32)

Ahora, intente calcular el HMAC para el message.txt original pero usando esta $WRONG_KEY:

openssl dgst -sha256 -mac hmac -macopt hexkey:$WRONG_KEY message.txt

Verá un nuevo valor HMAC en la salida:

HMAC-SHA2-256(message.txt)= 781729497e89f3f9cb1d8c7ab632e22753062ac39cd64de0e5b81a45de245d78

Observe que este HMAC es completamente diferente del que generó con la $HMAC_KEY correcta. Esto demuestra que sin la clave secreta correcta, no se puede producir un HMAC válido para el mensaje, asegurando así la autenticidad.

Observando el Fallo con un Mensaje Modificado

Veamos también qué sucede si el mensaje en sí es manipulado. Modificaremos ligeramente message.txt:

echo -n "This is a tampered message." > message.txt

Ahora, calcule el HMAC nuevamente usando la clave original y correcta ($HMAC_KEY):

openssl dgst -sha256 -mac hmac -macopt hexkey:$HMAC_KEY message.txt

De nuevo, obtendrá un valor HMAC completamente diferente. Esto demuestra que cualquier modificación en el mensaje, por pequeña que sea, será detectada, asegurando así la integridad.

Implementar HMAC en Python

En este paso, aprenderá a realizar operaciones HMAC programáticamente usando Python. Este es un requisito común en aplicaciones web, APIs y otro software que necesita asegurar mensajes. La librería estándar de Python proporciona los módulos hmac y hashlib para este propósito.

Escribiremos un script simple de Python para calcular el HMAC-SHA256 de un mensaje. Primero, abra el archivo hmac_example.py usando el editor de texto nano:

nano hmac_example.py

Ahora, copie y pegue el siguiente código Python en el editor nano. Este código importa las librerías necesarias, define una clave y un mensaje, y luego calcula e imprime el HMAC.

Nota: Para este ejemplo, estamos codificando la clave y el mensaje directamente en el código (hardcoding). En una aplicación real, la clave se almacenaría y gestionaría de forma segura. Tanto la clave como el mensaje deben ser cadenas de bytes, por lo que las anteponemos con b.

import hmac
import hashlib

## La clave secreta (debe ser bytes)
## En una aplicación real, obténgala de una ubicación segura
key = b'\x0d\xb3\x48\xc7\x84\x73\xce\x84\x60\x41\x6f\x87\x5c\xd8\x72\x39\xd0\xf5\xf6\x6f\xbe\x51\x03\xba\x4b\x5c\x84\xcf\x2c\xd7\x69\x14'

## El mensaje a autenticar (debe ser bytes)
message = b'This is a secret message.'

## 1. Crear un nuevo objeto HMAC
##    - Pasar la clave (key)
##    - Pasar el mensaje (message)
##    - Especificar el algoritmo hash (de hashlib)
h = hmac.new(key, message, hashlib.sha256)

## 2. Obtener el digest en formato hexadecimal
hex_digest = h.hexdigest()

print("HMAC Digest:")
print(hex_digest)

Después de pegar el código, guarde el archivo y salga de nano presionando Ctrl+O, luego Enter para confirmar el nombre del archivo, y finalmente Ctrl+X para salir.

Ahora, ejecute su script de Python desde la terminal:

python3 hmac_example.py

El script se ejecutará e imprimirá el digest HMAC calculado.

HMAC Digest:
214fbb56f716dfe1c2f4a60615a5b901b263fd74c9678b2aef4f01779b34dea8

Ahora ha implementado con éxito la generación de HMAC en Python, una habilidad directamente aplicable a la construcción de software seguro.

Resumen

En este laboratorio, ha adquirido experiencia práctica con los Códigos de Autenticación de Mensajes basados en Hash (HMAC, por sus siglas en inglés), una piedra angular de la criptografía moderna para garantizar la integridad y autenticidad de los datos.

Usted aprendió que:

  • HMAC combina una función hash criptográfica con una clave secreta para crear un código de autenticación de mensajes.
  • Solo las partes que poseen la clave secreta pueden generar o verificar el HMAC, lo que previene la modificación no autorizada y la falsificación.
  • La herramienta de línea de comandos openssl es una utilidad potente para realizar operaciones criptográficas, incluyendo la generación de claves aleatorias (openssl rand) y el cálculo de HMACs (openssl dgst).
  • Cualquier cambio en el mensaje o el uso de una clave incorrecta resultará en un HMAC completamente diferente, haciendo que la manipulación sea fácilmente detectable.
  • Python proporciona las librerías hmac y hashlib para integrar fácilmente la funcionalidad HMAC en sus aplicaciones.

Al dominar HMAC, ha dado un paso importante hacia la construcción de sistemas más seguros y confiables.

Relacionado Linux Cursos
Inicio rápido con Linux

Inicio rápido con Linux

linux
Conviértete en un Administrador de Sistemas Junior

Conviértete en un Administrador de Sistemas Junior

linuxshell
Linux para Principiantes

Linux para Principiantes

linux