Se dovessi acquisire una sessione TLS (e segreti condivisi) tra me e un sito web gestito da un'altra parte, potrei in seguito utilizzare l'HMAC (o qualcos'altro?) per verificare a terzi l'autenticità del dati scaricati, cioè prova che non l'ho alterato?
Nota che nella tua descrizione manca una parte importante: quella a cui desideri dimostrare di non aver alterato il messaggio. La domanda è davvero, se quella parte si fida di te per non produrre un messaggio che non hai scambiato con l'altra parte nella sessione TLS.
La risposta è no, perché hai salvato la chiave e quindi puoi generare tag validi per tutti i messaggi che desideri, che potresti non aver inviato all'altro estremo della connessione TLS.