Eine MAC-Signatur ist eine kryptografische Ausgabe, die zur Prüfung der Integrität und zur Authentifizierung der Daten verwendet wird. Mit einem MAC-Signaturalgorithmus können Sie zwei verschiedene Vorgänge ausführen:
Einen Signaturvorgang, bei dem ein Signaturschlüssel verwendet wird, um eine MAC-Signatur für Rohdaten zu generieren.
Einen Bestätigungsvorgang, bei dem die Authentizität der Nachricht anhand des zu überprüfenden Signaturschlüssels und des MAC-Tags validiert werden kann.
Eine MAC-Signatur hat zwei Hauptzwecke:
- Die Integrität der signierten Daten prüfen
- Überprüfen Sie die Authentizität der Nachricht.
Während der Zweck von MAC-Signaturen dem von digitalen Signaturen ähnelt, basieren MAC-Signaturen auf symmetrischer Kryptografie. MAC-Tags werden mit demselben geheimen Schlüssel generiert und verifiziert. Der Absender und der Empfänger einer Nachricht müssen beide denselben Schlüssel haben, um MAC-Signaturen zu verwenden.
Beispielanwendungsfall für eine MAC-Signatur
MAC-Algorithmen wie Keyed-Hash Message Authentication Code (HMAC) eignen sich aufgrund ihrer Effizienz hervorragend zur Überprüfung der Datenintegrität bei der Dateiübertragung. Hash-Funktionen können eine Nachricht beliebiger Länge in einen Digest mit fester Länge umwandeln, wodurch die Bandbreitennutzung maximiert wird.
MAC-Signatur-Workflow
Im Folgenden wird der Ablauf zum Erstellen und Validieren einer Signatur beschrieben. An diesem Workflow sind der Datenunterzeichner und der Datenempfänger beteiligt.
Unterzeichner und Empfänger einigen sich auf die Verwendung eines bestimmten, gemeinsam genutzten MAC-Schlüssels.
Beide können diesen Schlüssel zum Erstellen oder Prüfen von MAC-Signaturen verwenden.
Der Unterzeichner wendet den Signiervorgang auf die Daten an, um ein MAC-Tag zu berechnen.
Der Unterzeichner stellt dem Datenempfänger die Daten und das MAC-Tag bereit.
Der Empfänger nutzt den gemeinsam verwendeten MAC-Schlüssel, um die MAC-Signatur zu verifizieren. Ist die Verifizierung nicht erfolgreich, wurden die Daten geändert.
Signieralgorithmen
Cloud Key Management Service unterstützt nur HMAC-Algorithmen (Keyed-Hash Message Authentication Code) für die MAC-Signatur. HMAC-Algorithmen verwenden kryptografische Hash-Funktionen wie SHA-2 oder SHA-3, um das MAC-Tag zu berechnen. Die Stärke der HMAC-Funktion hängt von der Stärke der Hash-Funktion, der Größe der Hash-Ausgabe und der Größe des Schlüssels ab. Weitere Informationen zu HMAC-Signaturalgorithmen finden Sie unter HMAC-Signaturalgorithmen.
Beschränkungen
Wenn Sie Cloud KMS zum Erstellen oder Überprüfen von MAC-Signaturen verwenden, gelten die folgenden Einschränkungen:
Bei der Verwendung von Cloud HSM-Schlüsseln beträgt die maximale Größe der zu signierenden Datei 16 KiB.
Bei allen anderen Schlüsseln beträgt die maximale Größe der zu signierenden Datei 64 KiB.
Nächste Schritte
- Weitere Informationen zu HMAC-Signaturalgorithmen
- Erstellen Sie einen Schlüssel mit dem Schlüsselzweck
MAC
und einem HMAC-Signaturalgorithmus. - Erstellen Sie eine MAC-Signatur mithilfe eines vorhandenen
MAC
-Schlüssels mit einer Nachricht. - Prüfen Sie eine MAC-Signatur mithilfe eines vorhandenen
MAC
-Schlüssels mit einer Nachricht und ihrer Signatur.