メッセージ認証符号

セキュリティ

MAC関数は暗号学的ハッシュ関数に似ているが、いくつかの必要条件の違いがある。MAC関数は選択平文攻撃における存在的偽造に対して耐性がなければならない。つまり、共通鍵を持ちMAC関数を計算できる神託機械にアクセスできる攻撃者が、任意に選んだメッセージに対応するMACを取得できたとしても、他の（神託機械に問い合わせていない）メッセージに対するMACを神託機械に対して問い合わせずに計算で求めることが計算量的に困難でなければならない。

MACはデジタル署名とは異なり、MAC値の生成と検証には同じ鍵が使われるので（共通鍵暗号）、送信者と受信者は通信を行う前に鍵を共有しておく必要がある。また共通鍵暗号であるために、認証されたメッセージは送信者本人が作成した物であり偽造ではないという確証、つまり否認不可性をもたない。なぜなら、受信者も含め共通鍵を知っている者であれば捏造したメッセージについてもMAC値を生成することができるからである。

公開鍵暗号を用いたデジタル署名では、メッセージの検証を公開鍵だけで行うことができるので、鍵の所有者はデジタル署名を作成できる秘密鍵を秘匿できる。したがって、デジタル署名が付与された文書はその所有者が署名したものと確定でき、否認不可な文書を作成することができる。

メッセージ完全性コード

メッセージ認証符号（MAC）の代わりにメッセージ完全性コード（Message Integrity Code, MIC）という用語が、特に通信の分野でMACアドレスとの区別のために用いられることがある。^[1] しかし、MICは、メッセージを一意に識別するためのメッセージダイジェストの意味で用いられる場合もある。^[2]このため RFC 4949 では、MICという用語の代わりに、チェックサム、エラー検出符号、ハッシュ、鍵付きハッシュ、メッセージ認証符号、protected checksumを使うことが推奨されている。

実装

要約

視点

MACアルゴリズムは他の暗号プリミティブから構築でき、ハッシュ関数を使う方式（HMAC）、ブロック暗号アルゴリズムを使う方式（OMAC/CMAC、CBC-MAC、PMAC）などがある。また、 Poly1305などの高速なMACアルゴリズムはuniversal hashing^[3]をベースとしている。

One-time MAC

鍵付きハッシュ関数の一種であるuniversal hashing、特にpairwise independentという性質を持つハッシュ関数は、鍵を一回ごとに使い捨てにするならば、安全なメッセージ認証符号として使うことができる。これは、暗号化におけるワンタイムパッドのMAC版と考えることができる^[4]。

Pairwise independentという性質は、鍵 $k$ を知らないならば、ある $m$ のハッシュ値 $hash_{k}(m)$ が分かったとしても、別のメッセージ $m'(\neq m)$ のハッシュ値 $hash_{k}(m')$ を推測できないという性質である。このような性質を持つハッシュ関数は、次のように簡単に作れる。素数 $p$ に対して鍵を $k=(a,b)$ としたとき、メッセージ $m$ のハッシュ値（MACにおけるタグ）は、 $hash_{k}(m)=am+b\mod p$ である。

例

応用例として、MACはSSH2においてトランスポート層のデータ一貫性を確保するために使用されている。MACの検証に用いる共通鍵は、通信の暗号化、復号に用いるセッション鍵と同様に、セッション開始時にディフィー・ヘルマン鍵共有によって生成された共有秘密からハッシュ関数によって生成される。実際に通信が始まったら、SSHプログラムは受信したパケットを復号したあと、MACと計算値を比較することでデータの完全性を検証している。^[5]

メッセージ認証符号

セキュリティ

メッセージ完全性コード

実装

One-time MAC

例

脚注

関連項目

外部リンク

Wikiwand - on