Sto lavorando a una dimostrazione della sicurezza dei cookie, in cui alcuni dati importanti vengono trasmessi al client insieme a un digest HMAC-SHA256 per impedire la modifica dei dati. Mi piacerebbe essere in grado di dimostrare che l'utilizzo di un tasto debole lo rende facile da decifrare.
Per generare hash e dati, ecco un semplice script python:
import hmac
from hashlib import sha256
message = "This is a long message that might be a little too long"
mkey = "password"
digest = hmac.new(mkey, message, sha256)
print(digest.hexdigest())
print(message.encode('hex'))
Emette questi dati:
e3762ae7f3bc6c9f8906e5f1f2cd19e80d3ebd281bdd31119a66adaef33d3b3c
546869732069732061206c6f6e67206d6573736167652074686174206d696768742062652061206c6974746c6520746f6f206c6f6e67
C'è qualche strumento che può aiutarmi a rompere efficacemente la chiave? Non sono riuscito a trovare un modo per farlo in hashcat.
Potrei lanciare il mio attacco del dizionario, ma preferirei usare qualcosa dal suo scaffale se esiste.