Was ist der Unterschied zwischen HMAC und einem einfachen Hash?

Ein einfacher Hash (SHA-256) hasht nur die Nachricht. HMAC kombiniert Nachricht und geheimen Schlüssel in einem speziellen Verfahren, das vor Length-Extension-Angriffen schützt. HMAC beweist Authentizität UND Integrität.

Warum HMAC statt Hash(key + message)?

Einfaches Verketten von Schlüssel und Nachricht ist anfällig für Length-Extension-Angriffe. HMAC verwendet eine doppelte Hash-Konstruktion (inner + outer pad), die mathematisch beweisbar sicher ist.

Welchen HMAC-Algorithmus sollte ich verwenden?

Verwenden Sie einen kryptografisch zufälligen Schlüssel mit mindestens so vielen Bits wie der Hash-Algorithmus (256 Bit für HMAC-SHA256). Generieren Sie Schlüssel mit einem sicheren Zufallsgenerator, nicht mit Passwörtern oder vorhersagbaren Werten.

Wie verifiziere ich Webhook-Signaturen?

Berechnen Sie den HMAC der empfangenen Payload mit Ihrem geheimen Schlüssel. Vergleichen Sie das Ergebnis mit dem Signatur-Header. Verwenden Sie zeitkonstanten Vergleich (constant-time comparison), um Timing-Angriffe zu verhindern.

Kann ich HMAC für die Passwortspeicherung verwenden?

HMAC ist nicht für Passwort-Hashing konzipiert — es ist zu schnell. Verwenden Sie bcrypt, scrypt oder Argon2 für Passwörter. HMAC eignet sich für Nachrichtenauthentifizierung, API-Signaturen und Webhook-Verifizierung.

Wie verwende ich dieses Tool in Claude/Cursor?

Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__hmac_generator mit Ihren Parametern zu verwenden.

Was ist MCP und warum unterstützt Toolypet es?

MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.

HMAC-Generator | Toolypet

Kostenloser Online-HMAC-Generator. Schlusselbasierte Nachrichtenauthentifizierungscodes generieren. Als MCP verfugbar.

Was ist das?

Der HMAC Generator erstellt schlüsselbasierte Hash-Nachrichtenauthentifizierungscodes. Für API-Anfragenauthentifizierung und Datenintegritätsprüfung.

Eingabe

Nachricht

Geheimer Schlüssel

Der Schlüssel sollte geheim gehalten und nur zwischen Parteien geteilt werden

Algorithmus

Ausgabecodierung

Vorschau

Nachricht und Schlüssel eingeben, dann auf Generieren klicken, um HMAC zu erstellen

Anleitung

Geben Sie Nachricht und geheimen Schlüssel ein. HMAC wird berechnet.

Vertiefung

HMAC ist das Rückgrat der Webhook-Signaturverifizierung bei großen Plattformen. Das Muster ist konsistent: 1. Stripe: HMAC-SHA256 des Webhook-Body mit dem Webhook-Secret. Header: Stripe-Signature. 2. GitHub: HMAC-SHA256, Header: X-Hub-Signature-256. 3. Slack: HMAC-SHA256 von Timestamp + Body. Implementierungsregeln: Verwenden Sie zeitkonstanten Vergleich (crypto.timingSafeEqual in Node.js), um Timing-Angriffe zu verhindern. Validieren Sie den Zeitstempel (nicht älter als 5 Minuten) gegen Replay-Angriffe. Loggen Sie fehlgeschlagene Verifizierungen zur Überwachung. HMAC-Konstruktion: HMAC(key, message) = H((key⊕opad) || H((key⊕ipad) || message)). Diese doppelte Hash-Struktur schützt vor Length-Extension-Angriffen, die bei einfachem H(key || message) möglich wären.

Beispiele

Generieren Sie einen HMAC-SHA256 für eine API-Anfrage-Signatur
Verifizieren Sie eine Webhook-Signatur durch HMAC-Vergleich
Erstellen Sie HMAC-basierte Authentifizierung für eine REST-API
Vergleichen Sie HMAC-Ausgaben verschiedener Hash-Algorithmen (SHA-256, SHA-512)

Toolypet MCP-Server installieren

Fügen Sie Toolypet-Tools mit einem einzigen Befehl zu Ihrem KI-Agenten hinzu. Funktioniert mit Claude Desktop, Claude Code, Cursor und jedem MCP-kompatiblen Client.

Schnellstart

npx -y @toolypet/mcp-server@latest

MCP-Client-Konfiguration

{
  "mcpServers": {
    "toolypet": {
      "command": "npx",
      "args": [
        "-y",
        "@toolypet/mcp-server@latest"
      ]
    }
  }
}

Tool-Name:mcp__toolypet__hmac_generator

Beispiel-Prompt

Generate HMAC-SHA256 for message 'hello' with secret key 'my-secret'

Eingabebeispiel

{
  "message": "hello",
  "secret": "my-secret",
  "algorithm": "sha256"
}

Ausgabebeispiel

{
  "hmac": "88aab3ede8d3adf94d26ab90d3bafd4a2083070c3bcce9c014ee04a443847c0b",
  "algorithm": "HMAC-SHA256"
}

Häufig gestellte Fragen

Was ist der Unterschied zwischen HMAC und einem einfachen Hash?: Ein einfacher Hash (SHA-256) hasht nur die Nachricht. HMAC kombiniert Nachricht und geheimen Schlüssel in einem speziellen Verfahren, das vor Length-Extension-Angriffen schützt. HMAC beweist Authentizität UND Integrität.
Warum HMAC statt Hash(key + message)?: Einfaches Verketten von Schlüssel und Nachricht ist anfällig für Length-Extension-Angriffe. HMAC verwendet eine doppelte Hash-Konstruktion (inner + outer pad), die mathematisch beweisbar sicher ist.
Welchen HMAC-Algorithmus sollte ich verwenden?: Verwenden Sie einen kryptografisch zufälligen Schlüssel mit mindestens so vielen Bits wie der Hash-Algorithmus (256 Bit für HMAC-SHA256). Generieren Sie Schlüssel mit einem sicheren Zufallsgenerator, nicht mit Passwörtern oder vorhersagbaren Werten.
Wie verifiziere ich Webhook-Signaturen?: Berechnen Sie den HMAC der empfangenen Payload mit Ihrem geheimen Schlüssel. Vergleichen Sie das Ergebnis mit dem Signatur-Header. Verwenden Sie zeitkonstanten Vergleich (constant-time comparison), um Timing-Angriffe zu verhindern.
Kann ich HMAC für die Passwortspeicherung verwenden?: HMAC ist nicht für Passwort-Hashing konzipiert — es ist zu schnell. Verwenden Sie bcrypt, scrypt oder Argon2 für Passwörter. HMAC eignet sich für Nachrichtenauthentifizierung, API-Signaturen und Webhook-Verifizierung.
Wie verwende ich dieses Tool in Claude/Cursor?: Sie können dieses Tool über MCP verwenden. Fügen Sie den Toolypet MCP-Server mit 'npx -y @toolypet/mcp-server@latest' zu Ihrer KI-Agent-Konfiguration hinzu. Bitten Sie dann Ihre KI, mcp__toolypet__hmac_generator mit Ihren Parametern zu verwenden.
Was ist MCP und warum unterstützt Toolypet es?: MCP (Model Context Protocol) ist ein offener Standard, der KI-Agenten wie Claude und Cursor die Nutzung externer Tools ermöglicht. Toolypet unterstützt MCP, damit Sie alle 65+ Tools sowohl im Browser als auch über KI-Agenten nutzen können, wodurch Berechnungen und Operationen nahtlos in Ihren KI-Workflow integriert werden.