メッセージ認証にんしょう符号ふごう

メッセージ認証にんしょうコード（メッセージにんしょうコード、英えい: Message Authentication Code、MAC）は、メッセージを認証にんしょうするための短みじかい情報じょうほうである。MACアルゴリズムは、入力にゅうりょくとして共通きょうつう鍵かぎと認証にんしょうすべき任意にんい長ちょうのメッセージを受うけ取とり、MAC（「タグ」とも呼よばれる）を出力しゅつりょくする。MACを付加ふかすることで、（共通きょうつう鍵かぎをもつ）検証けんしょう者しゃがメッセージ内容ないようの変化へんかを検出けんしゅつできるようになり、メッセージの完全かんぜん性せいと認証にんしょうが保証ほしょうされる。このため、メッセージ認証にんしょう完全かんぜん性せいコード（Message Authentication and Integrity Code、MAIC）とも呼よばれる。

MAC関数かんすうは暗号あんごう学がく的てきハッシュ関数かんすうに似にているが、いくつかの必要ひつよう条件じょうけんの違ちがいがある。MAC関数かんすうは選択せんたく平文へいぶん攻撃こうげきにおける存在そんざい的てき偽造ぎぞうに対たいして耐たい性せいがなければならない。つまり、共通きょうつう鍵かぎを持もちMAC関数かんすうを計算けいさんできる神託しんたく機械きかいにアクセスできる攻撃こうげき者しゃが、任意にんいに選えらんだメッセージに対応たいおうするMACを取得しゅとくできたとしても、他たの（神託しんたく機械きかいに問とい合あわせていない）メッセージに対たいするMACを神託しんたく機械きかいに対たいして問とい合あわせずに計算けいさんで求もとめることが計算けいさん量的りょうてきに困難こんなんでなければならない。

MACはデジタル署名しょめいとは異ことなり、MAC値ちの生成せいせいと検証けんしょうには同おなじ鍵かぎが使つかわれるので（共通きょうつう鍵かぎ暗号あんごう）、送信そうしん者しゃと受信じゅしん者しゃは通信つうしんを行おこなう前まえに鍵かぎを共有きょうゆうしておく必要ひつようがある。また共通きょうつう鍵かぎ暗号あんごうであるために、認証にんしょうされたメッセージは送信そうしん者しゃ本人ほんにんが作成さくせいした物ものであり偽造ぎぞうではないという確証かくしょう、つまり否認ひにん不可ふか性せいをもたない。なぜなら、受信じゅしん者しゃも含ふくめ共通きょうつう鍵かぎを知しっている者ものであれば捏造ねつぞうしたメッセージについてもMAC値ちを生成せいせいすることができるからである。

公開こうかい鍵かぎ暗号あんごうを用もちいたデジタル署名しょめいでは、メッセージの検証けんしょうを公開こうかい鍵かぎだけで行おこなうことができるので、鍵かぎの所有しょゆう者しゃはデジタル署名しょめいを作成さくせいできる秘密ひみつ鍵かぎを秘匿ひとくできる。したがって、デジタル署名しょめいが付与ふよされた文書ぶんしょはその所有しょゆう者しゃが署名しょめいしたものと確定かくていでき、否認ひにん不可ふかな文書ぶんしょを作成さくせいすることができる。

メッセージ認証にんしょう符号ふごう（MAC）の代かわりにメッセージ完全かんぜん性せいコード（Message Integrity Code, MIC）という用語ようごが、特とくに通信つうしんの分野ぶんやでMACアドレスとの区別くべつのために用もちいられることがある。^[1] しかし、MICは、メッセージを一意いちいに識別しきべつするためのメッセージダイジェストの意味いみで用もちいられる場合ばあいもある。^[2]このため RFC 4949 では、MICという用語ようごの代かわりに、チェックサム、エラー検出けんしゅつ符号ふごう、ハッシュ、鍵かぎ付つきハッシュ、メッセージ認証にんしょう符号ふごう、protected checksumを使つかうことが推奨すいしょうされている。

MACアルゴリズムは他たの暗号あんごうプリミティブから構築こうちくでき、ハッシュ関数かんすうを使つかう方式ほうしき（HMAC）、ブロック暗号あんごうアルゴリズムを使つかう方式ほうしき（OMAC/CMAC、CBC-MAC、PMAC）などがある。 また、 Poly1305などの高速こうそくなMACアルゴリズムはuniversal hashing^[3]をベースとしている。

鍵かぎ付つきハッシュ関数かんすうの一種いっしゅであるuniversal hashing、特とくにpairwise independentという性質せいしつを持もつハッシュ関数かんすうは、鍵かぎを一いち回かいごとに使つかい捨すてにするならば、安全あんぜんなメッセージ認証にんしょう符号ふごうとして使つかうことができる。これは、暗号あんごう化かにおけるワンタイムパッドのMAC版ばんと考かんがえることができる^[4]。

Pairwise independentという性質せいしつは、鍵かぎ ${\displaystyle k}$ を知しらないならば、ある ${\displaystyle m}$ のハッシュ値ち ${\displaystyle hash_{k}(m)}$ が分わかったとしても、別べつのメッセージ ${\displaystyle m'(\neq m)}$ のハッシュ値ち ${\displaystyle hash_{k}(m')}$ を推測すいそくできないという性質せいしつである。このような性質せいしつを持もつハッシュ関数かんすうは、次つぎのように簡単かんたんに作つくれる。素数そすう ${\displaystyle p}$ に対たいして鍵かぎを ${\displaystyle k=(a,b)}$ としたとき、 メッセージ ${\displaystyle m}$ のハッシュ値ち（MACにおけるタグ）は、${\displaystyle hash_{k}(m)=am+b\mod p}$ である。

応おう用例ようれいとして、MACはSSH2においてトランスポート層そうのデータ一貫いっかん性せいを確保かくほするために使用しようされている。MACの検証けんしょうに用もちいる共通きょうつう鍵かぎは、通信つうしんの暗号あんごう化か、復号ふくごうに用もちいるセッション鍵かぎと同様どうように、セッション開始かいし時じにディフィー・ヘルマン鍵かぎ共有きょうゆうによって生成せいせいされた共有きょうゆう秘密ひみつからハッシュ関数かんすうによって生成せいせいされる。実際じっさいに通信つうしんが始はじまったら、SSHプログラムは受信じゅしんしたパケットを復号ふくごうしたあと、MACと計算けいさん値ちを比較ひかくすることでデータの完全かんぜん性せいを検証けんしょうしている。^[5]

1. ^ IEEE 802.11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications ((2007 revision) ed.). IEEE-SA. (12 June 2007). doi:10.1109/IEEESTD.2007.373646. ISBN 978-0-7381-5656-9. http://standards.ieee.org/getieee802/download/802.11-2007.pdf 
2. ^ Fred B Schneider, Hashes and Message Digests, Cornell University
3. ^ “VMAC: Message Authentication Code using Universal Hashing”. CFRG Working Group. http://www.fastcrypto.org/vmac/draft-krovetz-vmac-01.txt 16 March 2010閲覧えつらん。. 
4. ^ Simmons, Gustavus (1985). “Authentication theory/coding theory”. Advances in Cryptology: Proceedings of CRYPTO 84. Berlin: Springer. pp. 411–431 
5. ^ “rfc4251”. 2011年ねん10月がつ1日にち閲覧えつらん。 “rfc4253”. 2011年ねん10月がつ1日にち閲覧えつらん。

• チェックサム
• HMAC
• 認証にんしょう付つき暗号あんごう (AEAD)

• RSA FAQ's entry on MACs
• Ron Rivest lecture on MACs

表ひょう 話はなし 編へん 歴れき 暗号あんごう学がく的てきハッシュ関数かんすうとメッセージ認証にんしょうコード セキュリティ要約ようやく（英語えいご版ばん） 一般いっぱん的てき関数かんすう MD5 SHA-1 SHA-2 SHA-3/Keccak SHA-3最終さいしゅう候補こうほ（英語えいご版ばん） BLAKE Grøstl（英語えいご版ばん） JH（英語えいご版ばん） Skein（英語えいご版ばん） Keccak (勝者しょうしゃ) その他たの関数かんすう FSB（英語えいご版ばん） ECOH（英語えいご版ばん） GOST（英語えいご版ばん） HAS-160（英語えいご版ばん） HAVAL（英語えいご版ばん） Kupyna（英語えいご版ばん） LMハッシュ MDC-2（英語えいご版ばん） MD2 MD4 MD6（英語えいご版ばん） N-Hash（英語えいご版ばん） RadioGatún RIPEMD SipHash（英語えいご版ばん） Snefru（英語えいご版ばん） Streebog（英語えいご版ばん） SWIFFT（英語えいご版ばん） Tiger（英語えいご版ばん） VSH（英語えいご版ばん） WHIRLPOOL crypt(3)（英語えいご版ばん） (DES) MACアルゴリズム DAA（英語えいご版ばん） CBC-MAC HMAC OMAC（英語えいご版ばん）/CMAC PMAC（英語えいご版ばん） VMAC（英語えいご版ばん） UMAC（英語えいご版ばん） Poly1305 認証にんしょう付つき暗号あんごうモード CCM CWC（英語えいご版ばん） EAX（英語えいご版ばん） GCM IAPM（英語えいご版ばん） OCB（英語えいご版ばん） 攻撃こうげき 衝突しょうとつ攻撃こうげき（英語えいご版ばん） 原はら像ぞう攻撃こうげき 誕生たんじょう日び攻撃こうげき 総そう当あたり攻撃こうげき レインボーテーブル サイドチャネル攻撃こうげき 伸長しんちょう攻撃こうげき（英語えいご版ばん） 差分さぶん解読かいどく法ほう 設計せっけい アバランシェ効果こうか（英語えいご版ばん） ハッシュ衝突しょうとつ Merkle–Damgård構成こうせい法ほう（英語えいご版ばん） 標準ひょうじゅん化か CRYPTREC NESSIE NISTハッシュ関数かんすうコンベンション（英語えいご版ばん） NSA Suite B（英語えいご版ばん） CNSA 利用りよう ソルト キーストレッチ（英語えいご版ばん） メッセージ認証にんしょう（英語えいご版ばん） パスワードハッシュ関数かんすう bcrypt PBKDF2 scrypt Argon2 カテゴリ：ハッシュ関数かんすう・メッセージ認証にんしょうコード・認証にんしょう付つき暗号あんごう

表ひょう 話はなし 編へん 歴れき 暗号あんごう 暗号あんごう史し 暗号あんごう解読かいどく Cryptography portal en:Outline of cryptography 共通きょうつう鍵かぎ暗号あんごう ブロック暗号あんごう ストリーム暗号あんごう 暗号あんごう利用りようモード 公開こうかい鍵かぎ暗号あんごう 暗号あんごう学がく的てきハッシュ関数かんすう メッセージ認証にんしょうコード 認証にんしょう付つき暗号あんごう 乱数らんすう生成せいせい器き ステガノグラフィー

カテゴリ