В чем преимущество деформации ключа AES по сравнению с добавлением случайного одноразового номера?

Меня интересуют методы упаковки AES DEK (ключ шифрования данных) с использованием AES KEK (ключ шифрования ключа). Есть ли преимущество в использовании обертки ключей AES (rfc3394) по сравнению с простым добавлением случайного одноразового номера в DEK ​​перед его шифрованием?

Контекст: мой KEK основан на TPM 2.0 (доверенный платформенный модуль), спецификация устройства не включает перенос ключей AES и поддерживает ограниченные режимы работы блочного шифра (GCM не включен).Поэтому мне интересно, достаточно ли обернуть ключ следующим образом

• Подготовьте обычный текст, добавив 32-байтовый случайный одноразовый номер к DEK.
• Используйте режим работы CFB
• Используйте случайный 16-байтовый IV (вектор инициализации)
• Шифровать с помощью AES256 KEK на основе TPM

Преимущество переноса ключей AES заключается в том, что он проверяет целостность данных. При расшифровке необходимо проверить полученный IV, и если это не начальное значение, данные были подделаны.

Использование CFB не является хорошим режимом работы, поскольку оно не обеспечивает проверки целостности. Если вы хотите использовать его, используйте его стандартным способом, который заключается в предоставлении обычного IV, а не добавлении данных в открытый текст, и используйте HMAC-SHA-256 для покрытия зашифрованных данных (не открытого текста) и IV. . Ключ, который вы используете в этом случае, не должен зависеть от ключа, который вы используете для шифрования данных, но вы можете получить оба, используя один вход с помощью KDF, такого как HKDF.