Firme MAC

Una firma MAC è un output crittografico utilizzato per verificare l'integrità e l'autenticità dei dati. Un algoritmo di firma MAC consente di eseguire due operazioni distinte:

  • Un'operazione di firma, che utilizza una chiave di firma per produrre una firma MAC su dati non elaborati.

  • Un'operazione di verifica in cui è possibile convalidare l'autenticità del messaggio in base alla chiave di firma e al tag MAC da verificare.

Gli scopi principali di una firma MAC sono due:

  • Verifica l'integrità dei dati firmati.
  • Verifica l'autenticità del messaggio.

Sebbene lo scopo delle firme MAC sia simile a quello delle firme digitali, le firme MAC si basano sulla crittografia simmetrica. I tag MAC vengono generati e verificati utilizzando la stessa chiave secret. Il mittente e il destinatario di un messaggio devono avere entrambi la stessa chiave per utilizzare le firme MAC.

Esempio di caso d'uso per una firma MAC

Gli algoritmi MAC come il codice HMAC (Keyed-Hash Message Authentication Code) rappresentano un eccellente meccanismo di controllo dell'integrità dei dati relativi al trasferimento di file grazie alla loro efficienza. Le funzioni hash possono prendere un messaggio di lunghezza arbitraria e trasformarlo in un digest a lunghezza fissa, massimizzando così l'utilizzo della larghezza di banda.

Flusso di lavoro per la firma MAC

Di seguito viene descritta la procedura per la creazione e la convalida di una firma. I due partecipanti di questo flusso di lavoro sono costituiti dal firmatario dei dati e dal destinatario dei dati.

  1. Il firmatario e il destinatario concordano di utilizzare una chiave MAC specifica e condivisa.

    Entrambi possono utilizzare questa chiave per creare o verificare le firme MAC.

  2. Il firmatario esegue un'operazione di firma sui dati per calcolare un tag MAC.

  3. Il firmatario fornisce i dati e il tag MAC al destinatario dei dati.

  4. Il destinatario utilizza la chiave MAC condivisa per verificare la firma MAC. Se la verifica non va a buon fine, i dati sono stati modificati.

Algoritmi di firma

Cloud Key Management Service supporta solo gli algoritmi HMAC (Keyed-Hash Message Authentication Code) per la firma MAC. Gli algoritmi HMAC usano funzioni hash crittografiche, ad esempio SHA-2 o SHA-3, per calcolare il tag MAC. L'efficacia della funzione HMAC dipende dall'efficacia della funzione hash, dalle dimensioni dell'output hash e dalle dimensioni della chiave. Per saperne di più sugli algoritmi di firma HMAC, consulta Algoritmi di firma HMAC.

Limitazioni

Quando utilizzi Cloud KMS per creare o verificare le firme MAC, si applicano le seguenti limitazioni:

  • Quando utilizzi le chiavi Cloud HSM, la dimensione massima del file da firmare è 16 KiB.

  • Per tutte le altre chiavi, la dimensione massima del file da firmare è 64 KiB.

Passaggi successivi