Почему CBC-MAC(M) = CFB-MAC(M)?

я не понимаю почему $\text{CBC-MAC}(M) = \text{CFB-MAC}(M)$. Имеет ли это какое-то отношение к $\text{CBC-MAC}(M) = C_L$ и $\text{CFB-MAC}(M) = E_K(C'_{L-1})$?

Для блочного шифра $E_k()$, рассмотрим следующий процесс, примененный к сообщению $ млн $ длины $\ell$ блоки $M_0,\ldots,M_{\ell-1}$ $$X_0=0$$ $$Y_i=X_i\oплюс M_i$$ $$X_{i+1}=E_k(Y_i).$$ В шифровании CBC с 0 IV зашифрованный текст представляет собой последовательность $X_1,\ldots,X_{\ell}$ и в шифровании CFB с IV $E^{-1}_k(0)$ зашифрованный текст представляет собой последовательность $Y_0,\ldots, Y_{\ell-1}$.

CBC-MAC — это просто последний блок зашифрованного текста: в нашей нотации $X_\ell$. CFB-MAC — это шифрование конечного блока шифра (без этого тривиально модифицировать $M_{\ell-1}$ и подделать MAC): в наших обозначениях $E_k(Y_{\ell-1})=X_\ell$.

Обратите внимание, что CFB можно использовать для шифрования «сегментов» данных, меньших размера блока, чем CBC. В таких случаях эквивалентности нет.