ระบบพื้นฐานของ MAC ช่วยให้คุณยืนยันได้ว่าไม่มีผู้ใดแทรกแซงข้อมูลของคุณ ผู้ส่งที่แชร์คีย์แบบสมมาตรกับผู้รับจะคำนวณแท็กการตรวจสอบสิทธิ์สำหรับข้อความนั้นได้ ซึ่งช่วยให้ผู้รับยืนยันได้ว่าข้อความมาจากผู้ส่งที่คาดไว้และไม่มีการแก้ไข
MAC มีคุณสมบัติดังต่อไปนี้
- ความถูกต้อง: การรู้จักคีย์เป็นวิธีเดียวในการสร้างแท็ก MAC ที่ยืนยันได้
- แบบสมมาตร: การประมวลผลและยืนยันแท็กต้องใช้คีย์เดียวกัน
MAC อาจเป็นแบบกำหนดหรือสุ่มก็ได้ ขึ้นอยู่กับอัลกอริทึม Tink ไม่ได้ใช้อัลกอริทึม MAC ที่ไม่เป็นตัวกำหนดในขณะนี้ คุณควรใช้ MAC สำหรับการตรวจสอบสิทธิ์ข้อความเท่านั้น ไม่ใช่เพื่อวัตถุประสงค์อื่นๆ เช่น การสร้างไบต์ลวง (สำหรับวัตถุประสงค์นั้น โปรดดู PRF)
หากต้องการใช้ค่าพื้นฐานแบบอสมมาตรแทน โปรดดูลายเซ็นดิจิทัล
เลือกประเภทคีย์
เราขอแนะนำให้ใช้ HMAC_SHA256 สำหรับการใช้งานส่วนใหญ่ แต่ก็มีตัวเลือกอื่นๆ ด้วยเช่นกัน
โดยทั่วไปแล้ว เงื่อนไขต่อไปนี้เป็นจริง
- HMAC_SHA512 อาจเร็วขึ้นหรือไม่ ขึ้นอยู่กับขนาดข้อความและข้อมูลเฉพาะของฮาร์ดแวร์ที่คุณใช้
- HMAC_SHA512 เป็นโหมดที่มีความละเอียดน้อยที่สุดซึ่งสามารถใช้กับข้อความได้ไม่จำกัดจำนวน
AES256_CMAC ทำงานเร็วที่สุดในระบบที่รองรับการเร่งฮาร์ดแวร์ AES-NI
รับประกันความปลอดภัยเพียงเล็กน้อย
- การตรวจสอบสิทธิ์อย่างน้อย 80 บิต
- รักษาความปลอดภัยจากการปลอมแปลงตัวตนภายใต้การโจมตีด้วยข้อความธรรมดาที่เลือก
- การรักษาความปลอดภัยแบบ 128 บิตเป็นอย่างน้อย เพื่อป้องกันการโจมตีเพื่อกู้คืนคีย์ รวมถึงในสถานการณ์ที่มีผู้ใช้หลายคน (เมื่อผู้โจมตีไม่ได้กำหนดเป้าหมายเป็นคีย์ใดคีย์หนึ่ง แต่ไม่จำกัดคีย์ใดก็ตามจากชุดคีย์สูงสุด 232 คีย์)