问如果MAC和加密不是最安全的方法，为什么SIV是一件事呢？

EN

对于SIV，它根本不需要使用一个名为“nonce”的词。也就是说，使确定性SIV方案安全所需的唯一性必须驻留在纯文本或其他经过身份验证的数据中。从这种唯一性出发，构造了一个身份验证标记，它是身份验证标记(这是具有类似属性的必要条件)。这使得它不同于所有不确定的方案，包括那些基于加密后MAC的方案.

这使得SIV对于密钥包装特别有用；键总是具有某种唯一性，因为它包含大量的熵。因此，只要您记住对手可以区分副本，即使没有IV，算法也是安全的。这意味着不需要生成nonce；不需要额外的RNG或计数器。nonce或counter状态也不需要存储。

如果SIV被认为是安全的，那么加密和MAC被认为不是最好的这一事实当然不再是问题了。只要这个特定的AEAD方案是安全的，那就不是问题。路易斯·卡西利亚斯的回答深入研究了SIV模式的安全参数。

当然，如果您希望您的纯文本可以重复使用，那么您可以也应该继续使用SIV和某种显式的nonce。否则，您将得到相同的密文和破坏CPA的安全。

关于SIV的一些离题讨论

在密文中包含必要的身份验证标记仍然会扩展密文:这将有损于该方案的可用性。不幸的是，它放在前面也没有帮助，因为它不允许就地加密和指定身份验证标记驻留的位置，在我看来，这是一个错误。

当然，这是有代价的；SIV是一个完整的两通AEAD方案，需要两个密钥(对不起，不，只是将密钥连接起来并不能掩盖这一事实)。SIV可以使用一个更新，如果有人想要写一篇好的文章:用一个密钥和单独的身份验证标记指定一种或1/2通过SIV模式(即带有关联数据的确定性身份验证加密)将是很好的。