Firmas MAC

Una firma MAC es un resultado criptográfico que se usa para verificar la integridad y la autenticidad de los datos. Un algoritmo de firma de MAC te permite realizar dos operaciones distintas:

  • Es una operación de firma, que usa una clave de firma para producir una firma MAC sobre datos sin procesar.

  • Una operación de verificación en la que la autenticidad del mensaje se puede validar con la clave de firma y la etiqueta MAC que se verificará.

Una firma de MAC tiene dos propósitos principales:

  • Verifica la integridad de los datos firmados.
  • Verifica la autenticidad del mensaje.

Si bien el propósito de las firmas MAC es similar al de las firmas digitales, las firmas MAC se basan en la criptografía simétrica. Las etiquetas MAC se generan y verifican con la misma clave secreta. El remitente y el receptor de un mensaje deben tener la misma clave para usar las firmas MAC.

Ejemplo de caso de uso para una firma de MAC

Los algoritmos de MAC, como el código de autenticación de mensajes en clave hash (HMAC), son un excelente mecanismo de verificación de integridad de los datos de transferencia de archivos debido a su eficiencia. Las funciones hash pueden tomar un mensaje de longitud arbitraria y transformarlo en un resumen de longitud fija, lo que maximiza el uso del ancho de banda.

Flujo de trabajo de la firma MAC

A continuación, se describe el flujo que se sigue para crear y validar una firma. Los dos participantes de este flujo de trabajo son un firmante y un destinatario de los datos.

  1. El firmante y el destinatario acuerdan usar una clave MAC compartida específica.

    Ambos pueden usar esta clave para crear o verificar firmas de MAC.

  2. El firmante realiza una operación de firma sobre los datos para calcular una etiqueta MAC.

  3. El firmante proporciona los datos y la etiqueta MAC al destinatario de los datos.

  4. El destinatario usa la clave MAC compartida para verificar la firma MAC. Si la verificación no se realiza correctamente, entonces los datos se modificaron.

Algoritmos de firma

Cloud Key Management Service solo es compatible con algoritmos de código de autenticación de mensajes en clave hash (HMAC) para la firma de MAC. Los algoritmos de HMAC usan funciones hash criptográficas, como SHA-2 o SHA-3, para calcular la etiqueta de MAC. La fortaleza de la función de HMAC depende de la fortaleza de la función de hash, el tamaño del resultado del hash y el tamaño de la clave. Para obtener más información sobre los algoritmos de firma HMAC, consulta Algoritmos de firma de HMAC.

Limitaciones

Cuando usas Cloud KMS para crear o verificar firmas de MAC, se aplican las siguientes limitaciones:

  • Cuando se usan claves de Cloud HSM, el tamaño máximo del archivo que se firmará es de 16 KiB.

  • Para todas las demás claves, el tamaño máximo del archivo que se firmará es de 64 KiB.

¿Qué sigue?