使用可變長度的 CBC-MAC，可以將一些具有固定 k 的分組密碼用作密碼散列函式嗎？

如果可變長度的 CBC-MAC 與分組密碼（又名偽隨機排列）一起使用，是否存在分組密碼，使得該 CBC-MAC 的實現可以用作密碼散列函式，前提是 k 是固定的？

不，它不能; 你可以找到它的原像攻擊。

兩塊消息上的 CBC-MAC $ (M_0, M_1) $ （填充後）定義為 $ E_k( M_1 \oplus E_k( M_0 )) $ . 查找值的原像 $ S $ , 你選擇 $ M_1 $ 使用有效的填充模式（由於填充，我們不能任意選擇此塊），併計算 $ M_0 = D_k(M_1 \oplus D_k(S)) $ ; 很容易看到填充消息 $ (M_0, M_1) $ 雜湊值 $ S $ .

而且，即使你不能輕易計算 $ D_k $ ，還是很容易找到第二個原像…

引用自：https://crypto.stackexchange.com/questions/50123