「MAC 簽名」是加密編譯輸出,可用於驗證資料的完整性和真實性。MAC 簽章演算法可讓您執行兩個不同的作業:
簽署作業,該作業使用簽署金鑰透過原始資料產生 MAC 簽章。
驗證作業,在該作業中,可根據簽署金鑰和要驗證的 MAC 標記,驗證訊息的真實性。
MAC 簽名的用途主要有兩種:
- 驗證已簽署資料的完整性。
- 確認訊息的真實性。
雖然 MAC 簽章的用途與數位簽章相似,但 MAC 簽章依賴對稱式密碼編譯。系統會使用相同的秘密金鑰產生及驗證 MAC 標記。訊息的寄件者和收件者都必須使用相同的金鑰,才能使用 MAC 簽名。
MAC 簽名的使用案例
以 MAC 演算法為例,像是鍵值雜湊訊息驗證碼 (HMAC) 這類的演算法,由於效率高,是檔案傳輸資料完整性檢查的絕佳機制。雜湊函式可接收任意長度的訊息,並將其轉換為固定長度的摘要,進而盡可能提高頻寬使用率。
MAC 簽署工作流程
以下說明建立及驗證簽名的流程。此工作流程中的兩個參與者分別是資料的簽署者與資料接收者。
簽署者和收件者同意使用特定的共用 MAC 金鑰。
兩者皆可使用此金鑰建立或驗證 MAC 簽名。
簽署者會對資料執行簽署作業,以計算 MAC 標記。
簽署者會為資料接收者提供資料和 MAC 標記。
接收者會使用共用 MAC 金鑰驗證 MAC 簽名。如果驗證失敗,則表示資料已變更。
簽署演算法
Cloud Key Management Service 僅支援金鑰雜湊訊息驗證碼 (HMAC) 演算法,用於 MAC 簽署。HMAC 演算法會使用 SHA-2 或 SHA-3 等加密編譯雜湊函式來計算 MAC 標記。HMAC 函式的強度取決於雜湊函式的強度、雜湊輸出的大小和金鑰大小。如要進一步瞭解 HMAC 簽署演算法,請參閱「HMAC 簽署演算法」。
限制
如果使用 Cloud KMS 產生 MAC 簽章,Cloud HSM 金鑰的檔案大小上限為 16 KiB,所有其他金鑰的檔案大小上限為 64 KiB。後續步驟
- 瞭解 HMAC 簽署演算法。
- 建立金鑰,金鑰用途為
MAC,並使用 HMAC 簽署演算法。 - 使用現有的
MAC金鑰和訊息建立 MAC 簽章。 - 使用現有的
MAC金鑰,搭配訊息和簽章驗證 MAC 簽章。