我們可以在沒有 MAC 的情況下實現 IND-CCA 嗎？

在現代密碼學中，IND-CPA 是我們想要的最低安全性。我們至少需要來自加密模式的 IND-CCAx 安全性。他們的關係可以在

• 2007 Authenticated Encryption：概念之間的關係和通用組合範式的分析，Mihir Bellare 和 Chanathip Namprempre

所有經典的分組密碼操作模式（CTR、CBC、OFB、CFB、PCBC），如維基百科中所述的機密性操作模式，最多只能實現 Ind-CPA。

使用 HMAC、KMAC 等安全 MAC很容易超越 IND-CPA 安全性，甚至可以實現提供的安全性超過 Ind-CCAx 的 Authentication Encryption 模式。

有沒有辦法在沒有 MAC 的情況下實現 Ind-CCA？

這是一個沒有明顯 MAC 外觀的 CCA 安全方案的範例。這不是從 CPA 到 CCA 安全性的通用編譯器的範例。

如果你有很強的偽隨機排列F $ F $ 輸入/輸出長度n+λ $ n + \lambda $ – 所以無論是非常短的消息還是相當寬的塊 PRP – 然後你可以獲得一個 CCA 安全的加密方案n $ n $ 位消息：

編碼(ķ,米)：_r←{0,1}λC: =F(ķ,米‖r)返回 C$$ \begin{array}{l} \underline{\textsf{Enc}(k,m):} \ \quad r \gets {0,1}^\lambda \ \quad c := F(k, m | r) \ \quad \mbox{return } c \end{array} $$

（通過做解密F-1 $ F^{-1} $ 並扔掉最後一個λ $ \lambda $ 位。）

引用自：https://crypto.stackexchange.com/questions/102445