RabbitMQ Management HTTPAPIのpassword_hashを生成する方法

Question

最愛の RabbitMQ管理プラグインには HTTP API があり、プレーンなHTTPリクエストを介してRabbitMQを管理します。

プログラムでユーザーを作成する必要があり、HTTPAPIが選択されました。ドキュメントは不足していますが、APIは非常にシンプルで直感的です。

セキュリティが懸念されるため、ユーザーパスワードをプレーンテキストで渡したくないため、APIには代わりにパスワードハッシュを送信するためのフィールドが用意されています。そこからの引用：

[GET |プット|削除]/api/users /name

個々のユーザー。ユーザーを配置するには、次のようなボディが必要です。
{"password":"secret","tags":"administrator"} 
または：
{"password_hash":"2lmoth8l4H0DViLaK9Fxi6l9ds8=", "tags":"administrator"} 
タグキーは必須です。 passwordまたはpassword_hashのいずれかを設定する必要があります。

これまでのところ、問題は次のとおりです。password_hashを正しく生成する方法

パスワードハッシュアルゴリズムはRabbitMQの構成ファイルで構成されており、デフォルトのSHA256として構成されています。

私はC＃と次のコードを使用してハッシュを生成しています：

var cr = new SHA256Managed(); var simplestPassword = "1"; var bytes = cr.ComputeHash(Encoding.UTF8.GetBytes(simplestPassword)); var sb = new StringBuilder(); foreach (var b in bytes) sb.Append(b.ToString("x2")); var hash = sb.ToString();

これは機能しません。 SHA256暗号化のいくつかのオンラインツールでテストすると、コードは期待される出力を生成しています。ただし、管理ページに移動してユーザーパスワードを手動で「1」に設定すると、魅力のように機能します。

この回答構成をエクスポートし、RabbitMQが生成しているハッシュを確認するようになり、いくつかのことに気づきました。

「1」のハッシュ例：「y4xPTRVfzXg68sz9ALqeQzARam3CwnGo53xS752cDV5 + Utzh」
すべてのユーザーのハッシュは固定長です
ハッシュは毎回変更されます（パスワードが同じであっても）。 PB2Kがパスワードに対してもこれを行うことは知っていますが、この暗号化プロパティの名前はわかりません。
password_hashを渡すと、RabbitMQは変更なしでそれを保存します

C＃だけでなく、他のプログラミング言語でも提案を受け付けています。

Derick Bailey · Accepted Answer

差出人： http://rabbitmq.1065348.n5.nabble.com/Password-Hashing-td276.html

ただし、自分で実装する場合、アルゴリズムは非常に単純です。これが実際の例です：

ランダムな32ビットソルトを生成します。

CA D5 08 9B

これをパスワードのUTF-8表現（この場合は「simon」）と連結します。

CA D5 08 9B 73 69 6D 6F 6E

MD5ハッシュを取得します。

CB 37 02 72 AC 5D 08 E9 B6 99 4A 17 2B 5F 57 12

塩を再度連結します。

CA D5 08 9B CB 37 02 72 AC 5D 08 E9 B6 99 4A 17 2B 5F 57 12

そしてbase64エンコーディングに変換します：

ytUIm8s3AnKsXQjptplKFytfVxI =

このプロセスに従うようにコードを変更できるはずです

Waldo · Answer

怠惰な人々（私のような;））のために、フレームワーク.NetCoreのSha512でRabbitMqパスワードを計算するためのコードがあります。

public static class RabbitMqPasswordHelper { public static string EncodePassword(string password) { using (RandomNumberGenerator Rand = RandomNumberGenerator.Create()) using (var sha512 = SHA512.Create()) { byte[] salt = new byte[4]; Rand.GetBytes(salt); byte[] saltedPassword = MergeByteArray(salt, Encoding.UTF8.GetBytes(password)); byte[] saltedPasswordHash = sha512.ComputeHash(saltedPassword); return Convert.ToBase64String(MergeByteArray(salt, saltedPasswordHash)); } } private static byte[] MergeByteArray(byte[] array1, byte[] array2) { byte[] merge = new byte[array1.Length + array2.Length]; array1.CopyTo(merge, 0); array2.CopyTo(merge, array1.Length); return merge; } }

metamaker · Answer

念のため、Waldoからの完全なコードが次のはずです

//Rextester.Program.Main is the entry point for your code. Don't change it. //Compiler version 4.0.30319.17929 for Microsoft (R) .NET Framework 4.5 using System; using System.Collections.Generic; using System.Linq; using System.Text.RegularExpressions; using System.Security.Cryptography; using System.Text; namespace Rextester { public static class RabbitMqPasswordHelper { public static string EncodePassword(string password) { using (RandomNumberGenerator Rand = RandomNumberGenerator.Create()) using (var sha256 = SHA256.Create()) { byte[] salt = new byte[4]; Rand.GetBytes(salt); byte[] saltedPassword = MergeByteArray(salt, Encoding.UTF8.GetBytes(password)); byte[] saltedPasswordHash = sha256.ComputeHash(saltedPassword); return Convert.ToBase64String(MergeByteArray(salt, saltedPasswordHash)); } } private static byte[] MergeByteArray(byte[] array1, byte[] array2) { byte[] merge = new byte[array1.Length + array2.Length]; array1.CopyTo(merge, 0); array2.CopyTo(merge, array1.Length); return merge; } } public class Program { public static void Main(string[] args) { //Your code goes here Console.WriteLine(Rextester.RabbitMqPasswordHelper.EncodePassword("MyPassword")); } } }

オンラインで実行できます http://rextester.com/ 。プログラムの出力にはハッシュが含まれます。

ChristianclintonによるPythonバージョン（ https://Gist.github.com/christianclinton/faa1aef119a0919aeb2e ）

#!/bin/env/python import hashlib import binascii # Utility methods for generating and comparing RabbitMQ user password hashes. # # Rabbit Password Hash Algorithm: # # Generate a random 32 bit salt: # CA D5 08 9B # Concatenate that with the UTF-8 representation of the password (in this # case "simon"): # CA D5 08 9B 73 69 6D 6F 6E # Take the MD5 hash: # CB 37 02 72 AC 5D 08 E9 B6 99 4A 17 2B 5F 57 12 # Concatenate the salt again: # CA D5 08 9B CB 37 02 72 AC 5D 08 E9 B6 99 4A 17 2B 5F 57 12 # And convert to base64 encoding: # ytUIm8s3AnKsXQjptplKFytfVxI= # # Sources: # http://rabbitmq.1065348.n5.nabble.com/Password-Hashing-td276.html # http://hg.rabbitmq.com/rabbitmq-server/file/df7aa5d114ae/src/rabbit_auth_backend_internal.erl#l204 # Test Case: # print encode_rabbit_password_hash('CAD5089B', "simon") # print decode_rabbit_password_hash('ytUIm8s3AnKsXQjptplKFytfVxI=') # print check_rabbit_password('simon','ytUIm8s3AnKsXQjptplKFytfVxI=') def encode_rabbit_password_hash(salt, password): salt_and_password = salt + password.encode('utf-8').encode('hex') salt_and_password = bytearray.fromhex(salt_and_password) salted_md5 = hashlib.md5(salt_and_password).hexdigest() password_hash = bytearray.fromhex(salt + salted_md5) password_hash = binascii.b2a_base64(password_hash).strip() return password_hash def decode_rabbit_password_hash(password_hash): password_hash = binascii.a2b_base64(password_hash) decoded_hash = password_hash.encode('hex') return (decoded_hash[0:8], decoded_hash[8:]) def check_rabbit_password(test_password, password_hash): salt, hash_md5sum = decode_rabbit_password_hash(password_hash) test_password_hash = encode_rabbit_password_hash(salt, test_password) return test_password_hash == password_hash

楽しんで！

Peter McEvoy · Answer

これはPowerShellの1つです-MD5ではなくSHA512を使用することは@ derick-bailey openerで言及されています-しかし、$hashと$saltを変更することで中間ステップを再現できます

param ( $password ) $Rand = [System.Security.Cryptography.RandomNumberGenerator]::Create() $hash = [System.Security.Cryptography.SHA512]::Create() [byte[]]$salt = New-Object byte[] 4 $Rand.GetBytes($salt) #Uncomment the next 2 to replicate derick baileys sample #[byte[]]$salt = 0xCA, 0xD5, 0x08, 0x9B #$hash = [System.Security.Cryptography.Md5]::Create() #Write-Host "Salt" #[System.BitConverter]::ToString($salt) [byte[]]$utf8PasswordBytes = [Text.Encoding]::UTF8.GetBytes($password) #Write-Host "UTF8 Bytes" #[System.BitConverter]::ToString($utf8PasswordBytes) [byte[]]$concatenated = $salt + $utf8PasswordBytes #Write-Host "Concatenated" #[System.BitConverter]::ToString($concatenated) [byte[]]$saltedHash = $hash.ComputeHash($concatenated) #Write-Host "SHA512:" #[System.BitConverter]::ToString($saltedHash) [byte[]]$concatenatedAgain = $salt + $saltedHash #Write-Host "Concatenated Again" #[System.BitConverter]::ToString($concatenatedAgain) $base64 = [System.Convert]::ToBase64String($concatenatedAgain) Write-Host "BASE64" $base64

Alexandre Thenorio · Answer

Goソリューションをお探しの方に。以下のコードは、32バイトのランダムパスワードを生成するか、指定されたパスワードのフラグを取り込んでハッシュし、rabbitの定義ファイルの「password_hash」フィールドで使用できるようにします。

package main import ( "crypto/Rand" "crypto/sha256" "encoding/base64" "flag" "fmt" mRand "math/Rand" "time" ) var src = mRand.NewSource(time.Now().UnixNano()) func main() { input := flag.String("password", "", "The password to be encoded. One will be generated if not supplied") flag.Parse() salt := [4]byte{} _, err := Rand.Read(salt[:]) if err != nil { panic(err) } pass := *input if len(pass) == 0 { pass = randomString(32) } saltedP := append(salt[:], []byte(pass)...) hash := sha256.New() _, err = hash.Write(saltedP) if err != nil { panic(err) } hashPass := hash.Sum(nil) saltedP = append(salt[:], hashPass...) b64 := base64.StdEncoding.EncodeToString(saltedP) fmt.Printf("Password: %s
", string(pass)) fmt.Printf("Hash: %s
", b64) } const ( letterBytes = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ" letterIdxBits = 6 // 6 bits to represent a letter index letterIdxMask = 1<<letterIdxBits - 1 // All 1-bits, as many as letterIdxBits letterIdxMax = 63 / letterIdxBits // # of letter indices fitting in 63 bits ) func randomString(size int) string { b := make([]byte, size) // A src.Int63() generates 63 random bits, enough for letterIdxMax letters! for i, cache, remain := size-1, src.Int63(), letterIdxMax; i >= 0; { if remain == 0 { cache, remain = src.Int63(), letterIdxMax } if idx := int(cache & letterIdxMask); idx < len(letterBytes) { b[i] = letterBytes[idx] i-- } cache >>= letterIdxBits remain-- } return string(b) }

Todd Lyons · Answer

これは、以前に偶然見つけた小さなpythonスクリプト（帰属はスクリプトにあります）で、迅速なハッシュ生成に最適です。エラーチェックを行わないため、非常に簡単です。

#!/usr/bin/env python3 # rabbitMQ password hashing algo as laid out in: # http://lists.rabbitmq.com/pipermail/rabbitmq-discuss/2011-May/012765.html from __future__ import print_function import base64 import os import hashlib import struct import sys # This is the password we wish to encode password = sys.argv[1] # 1.Generate a random 32 bit salt: # This will generate 32 bits of random data: salt = os.urandom(4) # 2.Concatenate that with the UTF-8 representation of the plaintext password tmp0 = salt + password.encode('utf-8') # 3. Take the SHA256 hash and get the bytes back tmp1 = hashlib.sha256(tmp0).digest() # 4. Concatenate the salt again: salted_hash = salt + tmp1 # 5. convert to base64 encoding: pass_hash = base64.b64encode(salted_hash) print(pass_hash.decode("utf-8"))

Ogrim · Answer

これは、openSSLを使用してBusyBoxで動作するbashのこのスクリプトのバージョンです。

#!/bin/bash function get_byte() { local BYTE=$(head -c 1 /dev/random | tr -d '\0') if [ -z "$BYTE" ]; then BYTE=$(get_byte) fi echo "$BYTE" } function encode_password() { BYTE1=$(get_byte) BYTE2=$(get_byte) BYTE3=$(get_byte) BYTE4=$(get_byte) SALT="${BYTE1}${BYTE2}${BYTE3}${BYTE4}" PASS="$SALT$1" TEMP=$(echo -n "$PASS" | openssl sha256 -binary) PASS="$SALT$TEMP" PASS=$(echo -n "$PASS" | base64) echo "$PASS" } encode_password $1```

Felix · Answer

ここでは、Javaでそれを行う方法を説明します。

 /** * Generates a salted SHA-256 hash of a given password. */ private String getPasswordHash(String password) { var salt = getSalt(); try { var saltedPassword = concatenateByteArray(salt, password.getBytes(StandardCharsets.UTF_8)); MessageDigest digest = MessageDigest.getInstance("SHA-256"); byte[] hash = digest.digest(saltedPassword); return Base64.getEncoder().encodeToString(concatenateByteArray(salt,hash)); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } } /** * Generates a 32 bit random salt. */ private byte[] getSalt() { var ba = new byte[4]; new SecureRandom().nextBytes(ba); return ba; } /** * Concatenates two byte arrays. */ private byte[] concatenateByteArray(byte[] a, byte[] b) { int lenA = a.length; int lenB = b.length; byte[] c = Arrays.copyOf(a, lenA + lenB); System.arraycopy(b, 0, c, lenA, lenB); return c; }

Waldo · Answer

そして楽しみのためにbashバージョン！

#!/bin/bash function encode_password() { SALT=$(od -A n -t x -N 4 /dev/urandom) PASS=$SALT$(echo -n $1 | xxd -ps | tr -d '
' | tr -d ' ') PASS=$(echo -n $PASS | xxd -r -p | sha512sum | head -c 128) PASS=$(echo -n $SALT$PASS | xxd -r -p | base64 | tr -d '
') echo $PASS } echo encode_password "some password"