Una firma MAC è un'uscita crittografica utilizzata per verificare l'integrità e l'autenticità dei dati. Un algoritmo di firma MAC consente di eseguire due operazioni distinte:
Un'operazione di firma che utilizza una chiave di firma per produrre una firma MAC sui dati non elaborati.
Un'operazione di verifica in cui l'autenticità del messaggio può essere convalidata in base alla chiave di firma e al tag MAC da verificare.
Una firma MAC ha due scopi principali:
- Verificare l'integrità dei dati firmati.
- Verifica l'autenticità del messaggio.
Sebbene lo scopo delle firme MAC sia simile a quello delle firme digitali, le firme MAC si basano sulla crittografia simmetrica. I tag MAC vengono generati e verificati utilizzando la stessa chiave segreta. Per utilizzare le firme MAC, sia il mittente sia il destinatario di un messaggio devono avere la stessa chiave.
Esempio di caso d'uso per una firma MAC
Gli algoritmi MAC come il codice di autenticazione del messaggio con hash con chiave (HMAC) sono un eccellente meccanismo di controllo dell'integrità dei dati di trasferimento dei file grazie alla loro efficienza. Le funzioni hash possono prendere un messaggio di lunghezza arbitraria e trasformarlo in un digest di lunghezza fissa, massimizzando così l'utilizzo della larghezza di banda.
Flusso di lavoro di firma MAC
Di seguito è descritto il flusso per la creazione e la convalida di una firma. I due partecipanti a questo flusso di lavoro sono il firmatario dei dati e il destinatario dei dati.
Il firmatario e il destinatario concordano sull'utilizzo di una chiave MAC specifica e condivisa.
Entrambi possono utilizzare questa chiave per creare o verificare le firme MAC.
Il firmatario esegue un'operazione di firma sui dati per calcolare un tag MAC.
Il firmatario fornisce i dati e il tag MAC al destinatario dei dati.
Il destinatario utilizza la chiave MAC condivisa per verificare la firma MAC. Se la verifica non va a buon fine, significa che i dati sono stati alterati.
Algoritmi di firma
Cloud Key Management Service supporta solo gli algoritmi HMAC (Keyed-Hash Message Authentication Code) per la firma MAC. Gli algoritmi HMAC utilizzano funzioni di hash crittografica, come SHA-2 o SHA-3, per calcolare il tag MAC. La sicurezza della funzione HMAC dipende dalla sicurezza della funzione di hashing, dalle dimensioni dell'output dell'hash e dalle dimensioni della chiave. Per ulteriori informazioni sugli algoritmi di firma HMAC, consulta Algoritmi di firma HMAC.
Limitazioni
Quando utilizzi Cloud KMS per creare o verificare le firme MAC, si applicano le seguenti limitazioni:
Quando utilizzi le chiavi Cloud HSM, la dimensione massima del file da firmare è 16 KiB.
Per tutte le altre chiavi, la dimensione massima del file da firmare è 64 KiB.
Passaggi successivi
- Scopri di più sugli algoritmi di firma HMAC.
- Crea una chiave con la finalità
MAC
e un algoritmo di firma HMAC. - Crea una firma MAC utilizzando una chiave
MAC
esistente con un messaggio. - Verifica una firma MAC utilizzando una chiave
MAC
esistente con un messaggio e la relativa firma.