MAC-Signaturen

Eine MAC-Signatur ist eine kryptografische Ausgabe, die zur Prüfung der Integrität und zur Authentifizierung der Daten verwendet wird. Mit einem MAC-Signaturalgorithmus können Sie zwei verschiedene Vorgänge ausführen:

• Ein Signaturvorgang, bei dem ein Signaturschlüssel verwendet wird, um eine MAC-Signatur für Rohdaten zu erstellen.

• Ein Überprüfungsvorgang, bei dem die Authentizität der Nachricht anhand des Signaturschlüssels und des zu prüfenden MAC-Tags validiert werden kann.

Eine MAC-Signatur hat zwei Hauptzwecke:

• Prüfen Sie die Integrität der signierten Daten.
• Prüfen Sie die Echtheit der Nachricht.

MAC-Signaturen ähneln denen von digitalen Signaturen, MAC-Signaturen basieren jedoch auf symmetrischer Kryptografie. MAC-Tags werden mit demselben geheimen Schlüssel generiert und überprüft. Der Sender und der Empfänger einer Nachricht müssen denselben Schlüssel haben, um MAC-Signaturen verwenden zu können.

Beispielanwendungsfall für eine MAC-Signatur

MAC-Algorithmen wie Keyed-Hash Message Authentication Code (HMAC) sind aufgrund ihrer Effizienz ein hervorragender Mechanismus für die Integritätsprüfung von Dateiübertragungsdaten. Hash-Funktionen können eine Nachricht beliebiger Länge verwenden und in einen Digest mit fester Länge umwandeln, um die Bandbreitennutzung zu maximieren.

MAC-Signatur-Workflow

Im Folgenden wird der Ablauf zum Erstellen und Validieren einer Signatur beschrieben. An diesem Workflow sind der Datenunterzeichner und der Datenempfänger beteiligt.

1. Unterzeichner und Empfänger einigen sich auf die Verwendung eines bestimmten, gemeinsam genutzten MAC-Schlüssels.

   Beide können diesen Schlüssel zum Erstellen oder Prüfen von MAC-Signaturen verwenden.

2. Der Unterzeichner wendet den Signiervorgang auf die Daten an, um ein MAC-Tag zu berechnen.

3. Der Unterzeichner stellt dem Datenempfänger die Daten und das MAC-Tag bereit.

4. Der Empfänger nutzt den gemeinsam verwendeten MAC-Schlüssel, um die MAC-Signatur zu verifizieren. Ist die Verifizierung nicht erfolgreich, wurden die Daten geändert.

Signieralgorithmen

Der Cloud Key Management Service unterstützt nur Algorithmen für Keyed-Hash Message Authentication Code (HMAC) für die MAC-Signatur. HMAC-Algorithmen verwenden kryptografische Hash-Funktionen wie SHA-2 oder SHA-3, um das MAC-Tag zu berechnen. Die Stärke der HMAC-Funktion hängt von der Stärke der Hash-Funktion, der Größe der Hash-Ausgabe und der Größe des Schlüssels ab. Weitere Informationen zu HMAC-Signaturalgorithmen finden Sie unter HMAC-Signaturalgorithmen.

Beschränkungen

Beim Erstellen oder Überprüfen von MAC-Signaturen mit Cloud KMS gelten die folgenden Einschränkungen:

• Bei Verwendung von Cloud HSM-Schlüsseln beträgt die maximale Größe der zu signierenden Datei 16 KiB.

• Bei allen anderen Schlüsseln beträgt die maximale Größe der zu signierenden Datei 64 KiB.

Nächste Schritte

• HMAC-Signaturalgorithmen
• Erstellen Sie einen Schlüssel mit dem Schlüsselzweck MAC und einem HMAC-Signaturalgorithmus.
• Erstellen Sie eine MAC-Signatur mit einem vorhandenen MAC-Schlüssel mit einer Nachricht.
• Prüfen Sie eine MAC-Signatur mit einem vorhandenen MAC-Schlüssel mit einer Nachricht und deren Signatur.