第一個塊作為 CBC-MAC 中的初始化向量

固定長度的 CBC-MAC 使用零塊作為 IV（初始化向量）以防止更改第一個塊。

即標籤 $ t $ = $ F(m_x \oplus … F(m_3 \oplus F(m_2 \oplus F(m_1)))…) $

我的問題是，如果第一個塊用作 IV，那麼它是否安全（不可偽造），為什麼？（不用於加密/保密，僅用於身份驗證）

即標籤 $ t $ = $ F(m_x \oplus … F(m_4 \oplus F(m_3 \oplus F(m_1 \oplus m_2)))…) $

謝謝你。

我的問題是，如果第一個塊用作 IV，那麼它是否安全（不可偽造），為什麼？

假設使用此方案，您有消息的 MAC $ [m_1, m_2, m_3] $ . 沒有密鑰的人可以計算消息的 MAC $ [m_2, m_1, m_3] $ ?

引用自：https://crypto.stackexchange.com/questions/58433