חתימות MAC

חתימת MAC היא פלט קריפטוגרפי שמשמש לאימות התקינות והאותנטיות של נתונים. אלגוריתם חתימת MAC מאפשר לבצע שתי פעולות נפרדות:

  • פעולת חתימה, שמשתמשת במפתח חתימה כדי ליצור חתימת MAC על נתונים גולמיים.

  • פעולת אימות, שבה אפשר לאמת את האותנטיות של ההודעה בהינתן מפתח החתימה ותג ה-MAC שצריך לאמת.

יש שתי מטרות עיקריות לחתימת MAC:

  • בודקים את תקינות הנתונים החתומים.
  • אימות האותנטיות של ההודעה.

המטרה של חתימות MAC דומה למטרה של חתימות דיגיטליות, אבל חתימות MAC מבוססות על קריפטוגרפיה סימטרית. תגי MAC נוצרים ומאומתים באמצעות אותו מפתח סודי. כדי להשתמש בחתימות MAC, גם השולח וגם הנמען של ההודעה צריכים להשתמש באותו מפתח.

תרחיש שימוש לדוגמה בחתימת MAC

אלגוריתמים של MAC כמו קוד אימות הודעות המבוסס על גיבוב (HMAC) הם מנגנון מצוין לבדיקת שלמות הנתונים בהעברת קבצים, בגלל היעילות שלהם. פונקציות גיבוב יכולות לקבל הודעה באורך שרירותי ולהפוך אותה לסיכום באורך קבוע, וכך למקסם את השימוש ברוחב הפס.

תהליך העבודה של חתימת MAC

בקטע הבא מוסבר איך ליצור חתימה ולאמת אותה. שני המשתתפים בתהליך העבודה הזה הם חותם הנתונים ומקבל הנתונים.

  1. החותם והנמען מסכימים על שימוש במפתח MAC ספציפי ומשותף.

    שני הצדדים יכולים להשתמש במפתח הזה כדי ליצור או לאמת חתימות MAC.

  2. החותם מבצע פעולת חתימה על הנתונים כדי לחשב תג MAC.

  3. החותם מספק את הנתונים ואת תג ה-MAC לנמען הנתונים.

  4. הנמען משתמש במפתח ה-MAC המשותף כדי לאמת את חתימת ה-MAC. אם האימות נכשל, סימן שהנתונים שונו.

אלגוריתמים של חתימה

שירות Cloud Key Management Service תומך רק באלגוריתמים של קוד אימות הודעות (MAC) מבוסס-גיבוב עם מפתח (HMAC) לחתימה על MAC. אלגוריתמי HMAC משתמשים בפונקציות גיבוב קריפטוגרפיות, כמו SHA-2 או SHA-3, כדי לחשב את תג ה-MAC. העוצמה של פונקציית ה-HMAC תלויה בעוצמה של פונקציית הגיבוב, בגודל של פלט הגיבוב ובגודל של המפתח. מידע נוסף על אלגוריתמים לחתימת HMAC זמין במאמר בנושא אלגוריתמים לחתימת HMAC.

מגבלות

כשמשתמשים ב-Cloud KMS לחתימות MAC, גודל הקובץ המקסימלי הוא 16KiB למפתחות Cloud HSM ו-64KiB לכל שאר המפתחות. ‫

המאמרים הבאים