UtilBoxx
Krypto-Tools·7 Min

HMAC-Signaturen erzeugen: SHA-256, SHA-1, SHA-512

Lernen Sie, HMAC-Signaturen für API-Anfragen, Webhooks und JWTs zu erzeugen und zu prüfen. Kostenloses Browser-Tool.

Was ist eine HMAC-Signatur?

HMAC (Hash-based Message Authentication Code) ist ein Verfahren, mit dem sich sowohl die Integrität als auch die Authentizität einer Nachricht prüfen lassen. Es kombiniert eine kryptografische Hash-Funktion (üblicherweise SHA-256) mit einem gemeinsamen geheimen Schlüssel, um für eine gegebene Eingabe eine eindeutige Signatur zu erzeugen. Ändert sich auch nur ein Byte der Nachricht, ändert sich auch die Signatur.

HMAC wird häufig für API-Authentifizierung, Webhook-Verifizierung, JWT-Signaturen und sichere Kommunikationsprotokolle verwendet. Anders als ein einfacher Hash benötigt HMAC einen Schlüssel — das bedeutet, nur Parteien, die das Geheimnis besitzen, können die Signatur erzeugen oder prüfen.

Häufige Anwendungsfälle

  • Webhook-Verifizierung: Bestätigen, dass eine eingehende Anfrage von einem bekannten Absender stammt
  • API-Anfragensignatur: Einem Server ermöglichen zu prüfen, dass die Anfrage von einem bekannten Client stammt
  • JWT-Signatur: Das Signatursegment eines JSON Web Tokens erzeugen
  • Dateiintegrität: Manipulationen während der Übertragung oder Speicherung erkennen
  • OAuth 1.0a und AWS Signature V4: klassische und moderne Anfragensignaturen

Methode 1: Den kostenlosen HMAC-Generator von UtilBoxx verwenden (Empfohlen)

Unser HMAC-Signatur-Generator unterstützt HMAC-SHA-256, HMAC-SHA-1 und HMAC-SHA-512 und gibt hexadezimal oder Base64 aus. So verwenden Sie ihn:

  1. Gehen Sie zu utilboxx.com/de/tools/crypto/hmac
  2. Geben Sie Ihre Nachricht und den geheimen Schlüssel ein
  3. Wählen Sie den Algorithmus (SHA-256 ist Standard)
  4. Wählen Sie die Ausgabecodierung (hex oder Base64)
  5. Kopieren Sie die erzeugte Signatur mit einem Klick

Warum diese Methode funktioniert:

  • Läuft vollständig in Ihrem Browser — Geheimnisse verlassen Ihr Gerät nicht
  • Unterstützt die gängigsten HMAC-Algorithmen
  • Live-Aktualisierung beim Tippen
  • Mobilfreundlich
  • 100% kostenlos, keine Registrierung, keine Werbung

Methode 2: OpenSSL auf der Kommandozeile

Der Befehl `openssl` ist unter Linux, macOS und Windows (mit Git Bash oder WSL) verfügbar:

```bash echo -n "message" | openssl dgst -sha256 -hmac "mysecretkey" ```

Dies erzeugt eine hexadezimale HMAC-SHA-256-Signatur. Ersetzen Sie `sha256` durch `sha1` oder `sha512` für andere Algorithmen.

Methode 3: Eine Bibliothek in Ihrer Sprache nutzen

In Node.js übernimmt das eingebaute `crypto`-Modul HMAC:

```javascript const crypto = require('crypto'); const hmac = crypto.createHmac('sha256', 'mysecretkey'); hmac.update('message'); console.log(hmac.digest('hex')); ```

In Python:

```python import hmac, hashlib print(hmac.new(b"mysecretkey", b"message", hashlib.sha256).hexdigest()) ```

In Go:

```go package main import ("crypto/hmac"; "crypto/sha256"; "encoding/hex"; "fmt") func main() { mac := hmac.New(sha256.New, []byte("mysecretkey")) mac.Write([]byte("message")) fmt.Println(hex.EncodeToString(mac.Sum(nil))) } ```

Häufig gestellte Fragen

Ist HMAC dasselbe wie eine digitale Signatur?

Nein. HMAC verwendet einen gemeinsamen Schlüssel, während eine digitale Signatur asymmetrische Kryptografie (öffentlicher/privater Schlüssel) nutzt. HMAC ist schneller und einfacher, aber Sie müssen das Geheimnis sicher mit allen Parteien teilen, die die Signatur prüfen müssen.

Welche Hash-Funktion sollte ich verwenden?

HMAC-SHA-256 ist die moderne Standardwahl. Es ist weit verbreitet, sicher und schnell. HMAC-SHA-1 gilt als Legacy und wird nur noch aus Kompatibilitätsgründen mit alten Systemen verwendet. HMAC-SHA-512 bietet höhere Sicherheit für sehr sensible Anwendungen.

Lässt sich eine HMAC-Signatur umkehren?

Nein. Die Signatur ist eine Einwegfunktion. Ein Angreifer kann weder die Nachricht noch den Schlüssel aus der Signatur ableiten, aber er kann Vermutungen prüfen, wenn er die Nachricht erahnt. Verwenden Sie lange, zufällige Schlüssel, um die Sicherheit zu maximieren.

Was passiert, wenn der Schlüssel geleakt wird?

Ein geleakter Schlüssel erlaubt Angreifern, gültige Signaturen für beliebige Nachrichten zu fälschen — die Authentifizierung wird vollständig gebrochen. Behandeln Sie HMAC-Schlüssel wie Passwörter: sicher speichern, regelmäßig rotieren, niemals in die Versionsverwaltung committen.

Fazit

HMAC ist ein Grundwerkzeug für sichere APIs und Nachrichtenintegrität. Für einen schnellen Generator im Browser ist das HMAC-Signatur-Tool von UtilBoxx die einfachste Möglichkeit, Signaturen zu berechnen und zu prüfen.

Verwandte Artikel

Krypto-Tools
JWT-Tokens dekodieren: Ein Leitfaden für Entwickler
Lernen Sie, JWT-Tokens zu dekodieren, um Header, Payload und Claims zu prüfen. Inklusive kostenlosem Browser-Decoder.
Krypto-Tools
Datei-Prüfsumme berechnen (MD5, SHA-1, SHA-256)
Lernen Sie, Datei-Prüfsummen im Browser zu berechnen und zu prüfen. Unterstützt MD5, SHA-1, SHA-256 und SHA-512.
Zurück zu allen Artikeln