SSL in genere utilizza la tecnica MAC-then-Encrypt invece di Encrypt-then-MAC (che di solito è considerata ideale per la maggior parte degli scenari). Io stesso non ho una conoscenza approfondita dei meriti e dei demeriti di entrambe le tecniche, ma basandomi su ciò che ho letto e capito finora, penso che usare Encrypt-then-MAC in caso di SSL avrebbe avuto più senso .
Penso anche che questo avrebbe protetto SSL contro molti attacchi in passato. Ad esempio, mentre si parla di prevenire gli attacchi Oracle di Padding su SLL, @Tomas Pornin ha citato in una delle sue risposte :
One must note that if SSL had used encrypt-then-MAC, such problems would have been avoided (the faulty records would have been rejected at the MAC level, before even considering decryption).
E, anche dopo tutti questi attacchi in passato, SSL NON sta ancora utilizzando Encrypt-then-MAC! Quindi, la mia domanda è, perché usiamo ancora MAC-then-Encrypt in SSL? Perché non usare semplicemente Encrypt-then-MAC per risolvere i problemi, invece di applicare piccoli cerotti di patching ogni volta? Cosa ci impedisce di usarlo nel caso di SSL?