在 .Net 中生成可打印的 HMAC 共享密钥

Question

我正在使用 HMACSHA512 使用共享密钥对数据进行哈希处理。由于密钥是共享的，我希望它全部是可打印字符，以便于传输。我想知道生成这些密钥的最佳方法是什么。

我当前正在使用 RNGCryptoServiceProvider 的 GetBytes() 方法生成密钥，但它返回的字节数组包含不可打印的字符。所以我想知道对结果进行 Base64 编码是否安全，或者这是否会过多地侵蚀随机性并使事情变得不那么安全？如果这不是一个好方法，你能推荐一个吗？

我确实明白，通过将键限制为可打印字符，我限制了键空间的整体宽度（即：砍掉 8 位中的 1 位），但我对此表示同意。

Answer 1

如果您可以处理不自动生成密钥的情况，则 http://www.grc.com/passwords 是非常随机的密钥材料的良好来源。

Base64 不会减少字节数组的底层熵。您可以生成密钥并以其原始形式使用它，但 Base64 对其进行编码以将其传输到您需要的位置。然后，您可以将其通过 Base64 解码回原始形式，然后再在新位置使用它。此操作中没有熵损失。 Base64编码将熵减少到每字节6位而不是8位，但编码的结果更长，因此总体熵是相同的。

另一种方法是获取 24 个随机字节以获得 192 位的熵。 Base64 编码会给你一个 32 个字符的字符串（256 位），它仍然具有原始的随机性和 192 位的熵。您可以直接使用它作为您的共享密钥。

Answer 2

BASE64 转换字节序列，因此它仅使用某些可打印字符。

这种转换不会以任何方式改变信息，只是改变信息的存储方式。它也是可逆的：您可以通过解码 BASE64 输出来获得原始字节序列。

因此，使用 BASE64 不会“侵蚀随机性”或以任何方式限制密钥空间。