¿Debo usar HMAC en esta situación?

HMAC es generalmente más aplicable a situaciones en las que dos entidades desean comunicarse de forma segura a través de Internet. Proporciona dos cosas clave, la confidencialidad y la integridad. confidencialidad al demostrar que el cliente remoto posee el ingrediente "secreto", la integridad, a través de la validación del resumen del mensaje.

En su caso de uso, el cifrado de almacenamiento local, el cifrado de la clave simétrica con la clave pública RSA debería funcionar bien, siempre y cuando esté protegiendo la clave privada con mecanismos de protección sólidos.

Una cosa más, en el paso 2, ¿por qué hasheado el resumen del mensaje con la clave privada RSA? Es mejor usar la clave pública.

Antes de dar mi respuesta, veamos primero el tema de HMAC.

El código de autenticación de mensaje basado en hash (o HMAC) es un mecanismo para calcular un código de autenticación de mensaje que involucra una función hash en combinación con una clave secreta. Esto se puede usar para verificar la integridad y autenticidad de un mensaje.

Ahora la autenticación HMAC garantiza la autenticidad de la solicitud firmando los encabezados, especialmente en el caso de que content-md5 esté firmado y verificado por el servidor Y el cliente. En la mayoría de las situaciones, he usado HMAC para tener un nivel de seguridad más sólido.

Pero tenga en cuenta que el uso de HMAC le ayuda a comprender mejor cómo funciona HTTP, lo que puede dificultarle las cosas o facilitar su uso.

HMAC junto con AES es un gran conjunto para tener. En mi opinión lo usaría.

También tenga en cuenta que si tiende a mantener esta información encriptada en un servidor durante largos períodos de tiempo, debe mantener la clave secreta actualizada mensualmente o tal vez dos veces al mes sobre cómo estructurar su seguridad.