Есть веская причина использовать ноль-IV в CBC-MAC; если есть фиксированный no-Zero IV, то злоумышленник может изменить $IV$ и $P_1$ так что первый блок открытого текста может стать преимуществом злоумышленника.
Первый шаг вычисления тега CBC-MAC выполняется следующим образом: $$C_1 = E_k(IV\oplus P_1)$$
Теперь пусть $P_1'$ быть целевым первым блоком, который злоумышленник хочет изменить, не меняя тег CBC-MAC. Чтобы добиться этой простой подделки, им нужно сохранить одно и то же значение для первого зашифрованного текста. $C_1$ так что остальные приведут к тому же тегу MAC.
$$IV \oplus P_1 = IV' \oplus P_1'$$
Поскольку злоумышленник знает $P_1$(â¡), $IV$ и $P_1'$ чем легко найти $IV'$ $$IV' = IV \oplus P_1 \oplus P_1'$$ т.е. злоумышленнику просто нужна простая операция x-or и передача.
В этой атаке размер сообщения не меняется, только первый блок открытого текста и IV изменяются для подделки MAC. Можно объединить два сообщения, чтобы подделать другое, однако это изменит размер сообщения.
Это делает простую подделку нефиксированного IV в CBC-MAC. CBC-MAC уже определен с нулевым IV, чтобы смягчить эту атаку и комбинированную атаку.
(â¡) Безопасность схем MAC не требует шифрования сообщения. Злоумышленники все еще могут модифицировать, если есть шифрование, это очень просто в режиме CBC.