El texto proviene de la famosa respuesta: Lecciones aprendidas y conceptos erróneos sobre el cifrado y la criptología: no usar cifrado sin autenticación de mensajes
Alternativamente, puede aplicar su propia autenticación de mensaje, de la siguiente manera. Primero, cifre el mensaje utilizando un esquema de cifrado de clave simétrica apropiado (por ejemplo, AES-CBC). Luego, tome el texto cifrado completo (incluidos los IV, nonces u otros valores necesarios para el descifrado), aplique un código de autenticación de mensaje (por ejemplo, AES-CMAC, SHA1-HMAC, SHA256-HMAC) y agregue el resumen MAC resultante al texto cifrado antes de la transmisión. En el lado de recepción, verifique que el resumen de MAC sea válido antes de descifrarlo. Esto se conoce como la construcción de cifrar y luego autenticar. (Vea también: 1 , 2 .) Esto también funciona bien, pero requiere un poco más de cuidado por su parte.
¿Es realmente correcto? Si un atacante cambia un texto cifrado, simplemente puede generar un nuevo MAC para ese texto cifrado y agregarlo en lugar de un MAC anterior. ¿No? ¿No deberías usar MAC en un texto plano?