Diese Seite wurde von der Cloud Translation API übersetzt.

MAC-Signaturen

Eine MAC-Signatur ist eine kryptografische Ausgabe, die zur Prüfung der Integrität und zur Authentifizierung der Daten verwendet wird. Mit einem MAC-Signaturalgorithmus können Sie zwei verschiedene Vorgänge ausführen:

Einen Signaturvorgang, der einen Signaturschlüssel verwendet, um eine MAC-Signatur über Rohdaten zu erstellen.
Ein Prüfvorgang, bei dem die Authentizität der Nachricht anhand des Signaturschlüssels und des zu prüfenden MAC-Tags bestätigt werden kann.

MAC-Signaturen haben zwei Hauptzwecke:

Prüfen Sie die Integrität der signierten Daten.
Prüfen Sie die Authentizität der Nachricht.

Der Zweck von MAC-Signaturen ähnelt dem von digitalen Signaturen, dabei nutzen sie aber die symmetrische Kryptografie. MAC-Tags werden mit demselben geheimen Schlüssel generiert und verifiziert. Sender und Empfänger einer Nachricht müssen denselben Schlüssel haben, um MAC-Signaturen zu verwenden.

Beispielanwendungsfall für eine MAC-Signatur

MAC-Algorithmen wie der Keyed-Hash Message Authentication Code (HMAC) sind aufgrund ihrer Effizienz ein guter Mechanismus zur Dateiintegritätsprüfung. Hash-Funktionen können eine Nachricht mit beliebiger Länge in einen Digest mit fester Länge umwandeln, um die Bandbreitennutzung zu maximieren.

MAC-Signatur-Workflow

Im Folgenden wird der Ablauf zum Erstellen und Validieren einer Signatur beschrieben. An diesem Workflow sind der Datenunterzeichner und der Datenempfänger beteiligt.

Unterzeichner und Empfänger einigen sich auf die Verwendung eines bestimmten, gemeinsam genutzten MAC-Schlüssels.

Beide können diesen Schlüssel zum Erstellen oder Prüfen von MAC-Signaturen verwenden.
Der Unterzeichner wendet den Signiervorgang auf die Daten an, um ein MAC-Tag zu berechnen.
Der Unterzeichner stellt dem Datenempfänger die Daten und das MAC-Tag bereit.
Der Empfänger nutzt den gemeinsam verwendeten MAC-Schlüssel, um die MAC-Signatur zu verifizieren. Ist die Verifizierung nicht erfolgreich, wurden die Daten geändert.

Signieralgorithmen

Der Cloud Key Management Service unterstützt nur HMAC-Algorithmen (Keyed-Hash Message Authentication Code) für MAC-Signaturen. HMAC-Algorithmen verwenden kryptografische Hash-Funktionen wie SHA-2 oder SHA-3, um das MAC-Tag zu berechnen. Die Stärke der HMAC-Funktion hängt von der Stärke der Hash-Funktion, der Größe der Hash-Ausgabe und der Größe des Schlüssels ab. Weitere Informationen zu HMAC-Signaturalgorithmen finden Sie unter HMAC-Signaturalgorithmen.

Beschränkungen

Wenn Sie Cloud KMS zum Erstellen oder Verifizieren von MAC-Signaturen verwenden, gelten die folgenden Einschränkungen:

Bei der Verwendung von Cloud HSM-Schlüsseln beträgt die maximale Größe der zu signierenden Datei 16 KiB.
Bei allen anderen Schlüsseln beträgt die maximale Größe der zu signierenden Datei 64 KiB.

Nächste Schritte

Weitere Informationen zu HMAC-Signaturalgorithmen
Erstellen Sie einen Schlüssel mit dem Schlüsselzweck MAC und einem HMAC-Signaturalgorithmus.
Erstellen Sie eine MAC-Signatur mit einem vorhandenen MAC-Schlüssel und einer Nachricht.
Prüfen Sie eine MAC-Signatur mit einem vorhandenen MAC-Schlüssel, einer Nachricht und ihrer Signatur.