De ce CBC-MAC(M) = CFB-MAC(M)?

Nu înțeleg de ce $\text{CBC-MAC}(M) = \text{CFB-MAC}(M)$. Are ceva de-a face $\text{CBC-MAC}(M) = C_L$ și $\text{CFB-MAC}(M) = E_K(C'_{L-1})$?

Pentru un cifru bloc $E_k()$, luați în considerare următorul proces aplicat unui mesaj $M$ de lungime $\ell$ blocuri $M_0,\ldots,M_{\ell-1}$ $$X_0=0$$ $$Y_i=X_i\oplus M_i$$ $$X_{i+1}=E_k(Y_i).$$ În criptarea CBC cu 0 IV textul cifrat este secvența $X_1,\ldots,X_{\ell}$ iar în criptare CFB cu IV $E^{-1}_k(0)$ textul cifrat este secvența $Y_0,\ldots, Y_{\ell-1}$.

CBC-MAC este pur și simplu blocul final al textului cifrat: în notația noastră $X_\ell$. CFB-MAC este criptarea blocului final de criptare (fără aceasta este trivial să modificați $M_{\ell-1}$ și a crea un MAC): în notația noastră $E_k(Y_{\ell-1})=X_\ell$.

Rețineți că CFB poate fi folosit pentru a cripta „segmente” de date mai mici decât dimensiunea blocului, în timp ce CBC nu poate. În astfel de cazuri, nu există echivalență.