node.js scrypt関数がHMACをこのように使用するのはなぜですか？

Node Scryptモジュールを作成しました。

HMACはセキュリティを強化します。これを使用すると、認証サーバーのデータベースだけでなく、（tarsnapで行われるように）暗号化されたファイル形式のヘッダーとして使用されるスキームも貸し出されます。また、Colin Percival（scryptを作成した人）はこのスキームを使用して検証します（実際には彼からコピーしただけです）。

HMACが使用される理由を説明するために、簡単にまとめます。暗号鍵導出関数を使用して何かを暗号化すると、96バイトの結果が生成され、次のように分解されます。

 bytes 0-5: The Word "scrypt"
 byte 6: 0
 byte 7: logN
 bytes 8-11: r
 bytes 12-15: p
 bytes 16-47: salt (which is 32 bytes)
 bytes 48-63: A 16 byte SHA256 checksum (hash) of the contents of bytes 0 to 47
 bytes 64-95: A 32 byte HMAC hash of bytes 0 to 63 with the key being the scrypt cryptographic hash

バイト0から47は平文であることが重要です（いかなる方法でも変更または暗号化されていません）。これを確実にするために、16バイトのSHA256チェックサムがあります。 SHAはチェックサムとして非常に効果的に使用できますが（特にこの場合））、アクティブな攻撃から保護することはできません。つまり、誰かがペイロードを入手し、独自の値に置き換えました。たとえば、ペイロードを取得し、自分のlogN、r、pと自分のチェックサムを計算して、それを元の値として渡すことができます。

これを防ぐために、最後の32バイトはHMACです。 HMACはメッセージの整合性を保証するために使用され（つまり、ペイロードを積極的に変更する人から保護します）、暗号化兵器の主力です（読み取り：安全に使用できます）。 HMACには鍵が必要であり、scryptハッシュを鍵として使用します。

最後の32バイトが単なるscryptハッシュである場合、アクティブな攻撃者がすべてを危険にさらして自分のscryptハッシュを代用することを妨げるものはありません。 HMACはこれを防ぎます。これは、scryptハッシュを検証する手段としてだけでなく、スキーム全体の整合性もチェックします。

ところで、チェックサム（バイト48から63）が必要な理由を不思議に思う人もいるかもしれません。まあ、あなたがそれについて考えるなら、私たちはscryptハッシュを計算して、HMACのキーとして使用できるようにする必要があります。したがって、チェックサムは追加のレベルのチェックを追加します。それがパンしない場合、検証はそれ以上続行せずにすぐにfalseを返します。