MAC vs Crittografia

La crittografia fornisce riservatezza, un MAC fornisce integrità. L'uso della crittografia rende i tuoi messaggi vulnerabili a un attacco solo per il testo cifrato .

Un esempio renderà più chiaro. Supponiamo che tu invii un messaggio che dice:

M = "transfer 100$ to account 591064"

Il mittente, con la chiave simmetrica, può crittografare il messaggio e inviare E(M) . Nessuno dovrebbe essere in grado di inviare un messaggio valido diverso dal titolare della chiave. Hai coperto la riservatezza.

Ma un utente malintenzionato potrebbe alterare il testo cifrato per farlo dire qualcos'altro quando è decodificato. Ovviamente, più grande è il messaggio e più la struttura ha, più difficile sarà la sua esecuzione pratica.

Ora se utilizzi un MAC insieme alla crittografia, sarai in grado di rilevare le modifiche al testo cifrato perché il MAC non calcolerà. Nel nostro esempio, se si utilizza la stessa chiave per la crittografia e il MAC, è possibile modificare il messaggio in:

M = "transfer 100$ to account 591064|a46c0db15acdd36b4e92a82e5dc6c14f"

e crittografalo, inviando nuovamente E(M) . L'hash è crittografato (è il tuo MAC), il messaggio è crittografato (per riservatezza). In questo modo, rendi computazionalmente impossibile modificare il testo cifrato e trovare un messaggio valido, anche se il tuo messaggio è un singolo byte casuale.

La scelta dell'hash migliore, della crittografia e della lunghezza della chiave è un'altra storia.

In conclusione:

• La crittografia non fornisce l'integrità da sola
• MAC (integrità) non fornisce la riservatezza di per sé

Spesso devi combinare le primitive crittografiche per ottenere molte proprietà di sicurezza.

@ ixe013 lo spiega bene. La crittografia e i MAC hanno uno scopo diverso.

Se hai bisogno di integrità, devi usare un MAC. La crittografia non fornisce integrità.

Se hai bisogno di riservatezza, devi usare la crittografia both e un MAC. Potresti pensare che la crittografia sarebbe sufficiente in questo caso (non c'è bisogno di un MAC), ma ti sbagli. Vedi Non utilizzare la crittografia senza l'autenticazione dei messaggi .

Detto questo, in pratica non devi eseguire il rollpoint della tua crittografia . Ciò significa, tra le altre cose, che non dovresti provare a creare una combinazione di primitive crittografiche per soddisfare le tue esigenze applicative: non dovresti pensare al livello degli algoritmi di crittografia e dei codici di autenticazione dei messaggi. Questo è soggetto a errori e raramente è necessario. Invece, dovresti utilizzare un sistema crittografico ben controllato esistente (TLS, GPG, SSH, OpenVPN, IPSec, ecc.) Per fornire un canale di comunicazione sicuro o un sistema di archiviazione sicuro. Se lo fai, il sistema crittografico esistente si prenderà cura di questi dettagli per te. I crittografi hanno schiavizzato questi dettagli, quindi non ne hai bisogno.