在 SIV 中使用 CFB 是否安全？

如果將 CTR 模式加密替換為全塊 CFB 模式加密，SIV 模式變體是否同樣安全？

CFB 似乎對可預測 IV 是安全的：在 CFB 模式下使用可預測 IV 是否安全？

但是像 SIV 這樣的加密和 MAC 結構安全嗎？

我發現這個 IETF 過期草案。

它說：

E 必須是一個保留長度的語義安全加密方案。

也在考慮評論。我相信 CFB 或 OFB 也可以用於 SIV。

ECB 或 CBC（沒有密文竊取）將不安全，因為填充可能會在解密時導致錯誤（不保留長度）。

引用自：https://crypto.stackexchange.com/questions/91972