Assinaturas MAC

Uma assinatura MAC é uma saída criptográfica usada para verificar a integridade e a autenticação dos dados. Um algoritmo de assinatura MAC permite executar duas operações distintas:

  • Uma operação de assinatura que usa uma chave de assinatura para produzir uma assinatura MAC em dados brutos.

  • Uma operação de verificação, em que a autenticidade da mensagem pode ser validada, dada a chave de assinatura e a tag MAC a serem verificadas.

A assinatura MAC tem duas finalidades principais:

  • Verifique a integridade dos dados assinados.
  • Verifique a autenticidade da mensagem.

Embora o objetivo das assinaturas MAC seja semelhante ao das assinaturas digitais, as assinaturas MAC usam a criptografia simétrica. As tags MAC são geradas e verificadas usando a mesma chave secreta. O remetente e o destinatário de uma mensagem precisam ter a mesma chave para usar as assinaturas MAC.

Exemplo de caso de uso para uma assinatura MAC

Algoritmos MAC, como o código de autenticação de mensagens de hash com chave (HMAC, na sigla em inglês), são um mecanismo excelente de verificação de integridade de dados por causa da eficiência deles. As funções de hash podem transformar uma mensagem de comprimento arbitrário em um resumo de tamanho fixo, maximizando o uso da largura de banda.

Fluxo de trabalho de assinatura MAC.

A seguir, descrevemos o fluxo para criar e validar uma assinatura. Os dois participantes neste fluxo de trabalho são o assinante e o destinatário de dados.

  1. O signatário e o destinatário concordam em usar uma chave MAC específica e compartilhada.

    Ambas podem usar essa chave para criar ou verificar assinaturas MAC.

  2. O signatário realiza uma operação de assinatura nos dados para calcular uma tag MAC.

  3. O signatário fornece os dados e a tag MAC para o destinatário dos dados.

  4. O destinatário usa a chave MAC compartilhada para verificar a assinatura MAC. Se a verificação não foi bem-sucedida, os dados foram alterados.

Algoritmos de assinatura

O Cloud Key Management Service só oferece suporte a algoritmos de código de autenticação de mensagens de hash com chave (HMAC, na sigla em inglês) para assinatura MAC. Os algoritmos HMAC usam funções de hash criptográfico, como SHA-2 ou SHA-3, para calcular a tag MAC. A intensidade da função HMAC depende da força da função hash, o tamanho da saída do hash e o tamanho da chave. Para saber mais sobre algoritmos de assinatura HMAC, consulte Algoritmos de assinatura HMAC.

Limitações

Ao usar o Cloud KMS para criar ou verificar assinaturas MAC, as seguintes limitações são aplicadas:

  • Ao usar chaves do Cloud HSM, o tamanho máximo do arquivo a ser assinado é de 16 KiB.

  • Para todas as outras chaves, o tamanho máximo do arquivo a ser assinado é de 64 KiB.

A seguir