Почему маскирование используется в CMAC?

Я работаю над маскировкой в ​​CMAC.

Если маскирование не используется, то каким будет поведение CMAC?

если маскирование не используется, то каким будет поведение CMAC.

Ну, если вы удалите маскировку из CMAC, у вас фактически будет CBC-MAC, и у него есть известные проблемы.

Самый непосредственный из них заключается в том, что маска используется для различения сообщения, длина которого точно кратна 16 байтам (с нулями в конце), и сообщение, которое немного короче. Это можно решить, включив схему заполнения, поэтому я предполагаю это.

Однако даже с этим дополнением есть проблемы; например, если вы знаете $CBCMac_k(A)$, вы знаете, что это тот же MAC, что и $MACMac_k(Pad(A) || A')$, куда $Pad$ это функция заполнения, используемая в CBCMac, и $А'$ точно такой же, как $А$, за исключением того, что первый блок подвергается операции xor с $CBCMac_k(A) || IV$ (куда $IV$ фиксированный IV, который использует CBCMac); что делает этот xor, так это сбрасывает внутреннее состояние MAC обратно к стандартному начальному IV для CBCMac, а затем вы будете обрабатывать остальную часть сообщения точно так же, как и для исходного сообщения.