SIV 模式是否適用於非對稱加密？

在 ECIES 和類似的非對稱方案中，是否可以使用明文的雜湊作為 IV？

將消息的雜湊值作為 IV 並不安全，因為就像評論中提到的 Ricky Demer 一樣，它會使雜湊值公開並允許猜測。然而，這不是 SIV 模式所做的——它使用MAC作為 IV。

使用 ECIES 這樣做是可能的，但可能不是一個好主意：

• 普通 ECIES 具有一次性對稱密鑰，因此不需要 IV。
• 出於同樣的原因，ECIES+SIV 不會是確定性的，如果這是目標的話。

除非由於其他原因，SIV 恰好是可用的最佳加密類型，否則與其他形式的身份驗證加密相比沒有優勢，並且可能存在速度等缺點（因為它需要兩次傳遞數據）。

對於其他不對稱系統，這可能是另一回事。例如，Curve25519 對接收方和發送方都使用靜態 Diffie-Hellman 密鑰，因此使用 SIV 可以避免對 nonce 重用的完全破壞。

引用自：https://crypto.stackexchange.com/questions/33258