HMAC-Generator Sicherheitswerkzeuge
Kein Netzwerk
Deutsch
English 日本語 ລາວ Монгол Oʻzbekcha Тоҷикӣ Кыргызча Қазақша Azərbaycan Հայերեն ქართული العربية Български বাংলা čeština Dansk Deutsch Ελληνικά Español Eesti Suomi Français हिन्दी ગુજરાતી ಕನ್ನಡ मराठी മലയാളം Srpski Slovenčina Slovenščina Kiswahili Hrvatski Magyar Indonesia Italiano 한국어 Lietuvių Latviešu Nederlands Norsk Svenska Polski Português Română Русский Українська Беларуская Shqip اردو தமிழ் తెలుగు Türkçe ภาษาไทย Tiếng Việt 简体中文 繁體中文 עברית ខ្មែរ Melayu မြန်မာ ਪੰਜਾਬੀ සිංහල Tagalog नेपाली فارسی is mk ps

HMAC-Generator (HMAC-SHA256 im Browser)

Eine HMAC-SHA256-Seite ohne Netzwerkzugriff für schnelle HMAC-Berechnung und Signaturprüfung.

Alles läuft lokal in Ihrem Browser. Schlüssel und Nachrichten werden weder übertragen noch gespeichert.

Lokale Berechnung Keine Speicherung Hex und Base64
Keine Netzwerkübertragung

So wird es verwendet (HMAC signature)

  1. Geben Sie den Schlüssel ein. Wenn Ihre API-Spezifikation binäre Schlüsselbytes vorgibt, wählen Sie Hex oder Base64 als Eingabeformat.
  2. Geben Sie die zu signierende Nachrichten-Payload ein.
  3. Wählen Sie das Ausgabeformat (Hex / Base64 / Base64URL) und kopieren Sie das Ergebnis.
HMAC arbeitet auf Bytes, nicht auf sichtbarem Text. UTF-8-Kodierung, Unterschiede bei Zeilenumbrüchen und zusätzliche Leerzeichen ändern das Ergebnis.

Beispiele (Testvektoren)

Beispiel 1 (kurzer Check)

Eingabe: Schlüssel = secret (UTF-8), Nachricht = message (UTF-8)

HMAC-SHA256 (Hex):
8b5f48702995c1598c573db1e21866a9b825d4a794d169d7060a03605796360b

HMAC-SHA256 (Base64):
i19IcCmVwVmMVz2x4hhmqbgl1KeU0WnXBgoDYFeWNgs=

Beispiel 2 (gebräuchliche Phrase)

Eingabe: Schlüssel = key, Nachricht = The quick brown fox jumps over the lazy dog

Hex:
f7bc83f430538424b13298e6aa6fb143ef4d59a14946175997479dbc2d1a3cd8

Base64:
97yD9DBThCSxMpjmqm+xQ+9NWaFJRhdZl0edvC0aPNg=

Häufige Stolperfallen

  • Unterschiede zwischen LF und CRLF führen zu unterschiedlichen Signaturen.
  • Das Abschneiden führender oder nachgestellter Leerzeichen kann API-Signaturen unbrauchbar machen.
  • Base64URL bedeutet oft + zu -, / zu _ und ausgelassenes = Padding. Prüfen Sie Ihre API-Spezifikation.
  • Wenn ein Schlüssel als Hex-/Base64-Bytes verteilt wird, führt die Behandlung als Klartext zu Abweichungen.

FAQ

Wird mein Schlüssel gespeichert?

Nein. Dieses Werkzeug berechnet im Browser und sendet Schlüssel-/Nachrichteneingaben an keinen Server.

Base64 oder Hex?

Beides ist üblich. Sie können Hex / Base64 / Base64URL als Ausgabe wählen, passend zu Ihrer API-Spezifikation.

Welche Zeichenkodierung wird verwendet (UTF-8)?

Texteingaben werden vor der HMAC-Berechnung als UTF-8 kodiert. Für Binärwerte verwenden Sie Hex-/Base64-Eingabe.

Was ist der Unterschied zwischen HMAC und SHA-256-Hash?

SHA-256 ist ein normaler Hash. HMAC ergänzt einen geheimen Schlüssel zur Nachrichtenauthentifizierung.

Meine Ausgabe stimmt nicht. Was sollte ich prüfen?

Prüfen Sie die Interpretation des Schlüssels (Text vs. Bytes), die Behandlung von Zeilenumbrüchen, das Abschneiden von Leerzeichen und die Base64URL-Regeln.

Ergänzung

Was ist HMAC?

HMAC ist ein schlüsselbasierter Nachrichtenauthentifizierungscode, der einen geheimen Schlüssel und eine Hashfunktion verwendet.

Unterschied zu SHA-256

SHA-256 allein hat keinen geheimen Schlüssel. HMAC-SHA256 benötigt einen gemeinsamen Schlüssel und wird für Signaturen genutzt.

Typische Anwendungsfälle

Signierung von API-Anfragen, Webhook-Verifizierung und Prüfungen der Token-Integrität.