SIV模式适用于非对称加密吗？

Question

在ECIES和类似的非对称方案中，是否可以使用明文的散列作为IV？

Answer 1

将消息的散列作为IV是不安全的，因为就像Ricky在评论中提到的那样，它将使散列公开并允许猜测。然而，这不是SIV模式所做的-它使用MAC作为IV。

使用ECIES这样做是可能的，但可能不是一个好主意：

• 普通ECIES具有单用对称密钥，因此不需要IVs。
• 出于同样的原因，如果ECIES+SIV是目标的话，它将不会是确定性的。

除非SIV碰巧是出于其他原因可以使用的最佳加密类型，否则与其他形式的身份验证加密相比没有优势，而且可能会有速度(因为它需要对数据进行两次传递)等不利因素。

对于其他不对称系统，这可能是另一回事。例如，Curve25519对接收方和发送方都使用静态Diffie-Hellman密钥，因此使用SIV将避免在当前重用时完全破坏。