Применяется ли сильный хэш-функция, такая как SHA-256, для ECB-шифрования сообщения (с использованием некоторого секретного ключа $К$) производить безопасный Mac? Например, получив сообщение $м$, была бы простая конструкция Mac $Ч(Е_К(м))$ считаться безопасным Mac, если мы использовали сильный хэш $Ч$ как SHA-256?
По сравнению со стандартным HMAC эта конструкция кажется проще и даже может выполняться немного быстрее. Кроме того, не похоже, что эта схема Mac уязвима для атаки на увеличение длины либо так как без ведома $К$, не похоже, что злоумышленник может «расширить» ввод в хеш-функцию $Ч$ с момента выхода $E_K(м)$ никогда не «раскрывается» для злоумышленника, а используется только как некоторый промежуточный этап вычислений внутри $Ч(Е_К(м))$.
Конечно, стандарт $\text{HMAC}(К,м)$ конструкция, вероятно, более защищена от использования «слабых хэш-функций», поэтому я целенаправленно требую $Ч$ в моей конструкции должна быть «сильная» хеш-функция (например, SHA-256), которая должна быть устойчивой к коллизиям и (конечно) устойчивой к прообразам.
Аналогично, этот ключ $К$ бы Только использоваться только для создания Mac, и не «распространяется» для других целей шифрования в другом месте. Это потому, что если какая-то "другая часть приложения" повторно использует $К$ для общего шифрования в другом месте, злоумышленник может воспользоваться этим, чтобы определить $с=Е_К(р)$ для некоторого известного или выбранного (или даже «производного») открытого текста $р$, и, таким образом, тривиально подделать какое-то сообщение $м = р$ вместе с действительным Mac $ Н (с) $.
** Редактировать: это, по сути, обратная сторона эта схема...