Хеш-функция и коммутация операций над композицией

Есть ли хэш-функция $Ч$ и операция $\otimes$, которые удовлетворяют следующему свойству?

$$ H(A) \otimes H(B) = H(A \otimes B) $$

$А$ и $В$ представляют собой блоки из двух байтов одинаковой длины, при необходимости ограниченной фиксированной длиной (например, 128 байтов). $Ч$ должна быть криптографической хеш-функцией, в частности, она должна быть устойчивой к прообразу и коллизиям.

Идея

Одна идея, основанная на системе уравнений с использованием $XOR$ я спросила в математический форум. Но меня в основном интересуют существующие подходы или объяснение того, почему это может быть невозможно.

Если вы разрешаете различные операции $(\oplus, \otimes)$ на входе и выходе, то такое свойство есть у хеш-функции Педерсена. Исправить группу $\mathbb{G}$ порядка $р$ с двумя генераторами $(г,ч)$, и предположим, что вычисление дискретного логарифма $ч$ в базе $г$ это трудно. Тогда функция $H: \mathbb{Z}_p \times \mathbb{Z}_p \mapsto \mathbb{G}$ какие карты $(a,b) \in\mathbb{Z}_p \times \mathbb{Z}_p$ к $H(a||b) = g^ah^b$ — это устойчивая к коллизиям хеш-функция (в предположении дискретного логарифма), которая сжимается примерно в 2 раза (по группам, где элементы группы могут быть представлены компактно).

Затем, определяя $\oplus: ((a,b), (a',b')) \rightarrow (a+a', b+b')$ и $\otimes$ чтобы быть групповой операцией, мы имеем $H(a,b)\otimes H(a',b') = H((a,b)\oplus (a',b'))$.

Я не знаю ни одного примера, где $\oplus = \otimes$.

затем