这是RFC 4226错误吗？

Question

RFC的测试值规定：

Appendix D - HOTP Algorithm: Test Values 

    The following test data uses the ASCII string 
    "123456789" for the secret: 

    Secret = 0x3132333435363738393031323334353637383930 

    Table 1 details for each count, the intermediate HMAC value. 

    Count Hexadecimal HMAC-SHA-1(secret, count) 
    0  cc93cf18508d94934c64b65d8ba7667fb7cde4b0 
    1  75a48a19d4cbe100644e8ac1397eea747a2d33ab 

所以，如果我试图让HMAC 0在Ruby中，我得到：

[20] pry(AuthyOTP)> secret_key = "123456789" 
=> "123456789" 
[22] pry(AuthyOTP)> OpenSSL::HMAC.hexdigest(digest, secret_key, "0") 
=> "32a67f374525d32d0ce13e3db42b5b4a3f370cce" 

我有望获得cc93cf18508d94934c64b65d8ba7667fb7cde4b0

所以我用java写了一个实现，并且我得到了相同的结果：

Calculation OTP for movingFactor = 0 
    2. Calculate Hash = 
     32a67f374525d32d0ce13e3db42b5b4a3f370cce 

那么秘密是“123456789”时，“0”的十六进制SHA1-HMAC是什么？

Answer 1

RFC4226是正确的。

您正在将字符串与字节混淆。假设你不计算'0'的hmac-sha1，你应该计算一个从0开始的8字节整数的hmac-sha1。在java中，这将是hmac-sha1的byte [] counter = {0, 0, 0, 0, 0, 0, 0, 0};