Lợi thế của khóa dọc AES trái ngược với việc thêm một nonce ngẫu nhiên là gì?

Tôi quan tâm đến các phương pháp gói AES DEK (Khóa mã hóa dữ liệu) bằng AES KEK (Khóa mã hóa khóa). Có lợi thế nào khi sử dụng gói khóa AES (rfc3394) thay vì chỉ thêm một nonce ngẫu nhiên vào DEK trước khi mã hóa nó không?

Bối cảnh: KEK của tôi dựa trên TPM 2.0 (Mô-đun nền tảng đáng tin cậy), thông số kỹ thuật của thiết bị không bao gồm gói khóa AES và hỗ trợ các chế độ hoạt động của mật mã khối hạn chế (không bao gồm GCM).Vì vậy, tôi tự hỏi liệu có đủ bọc chìa khóa như sau

• Chuẩn bị văn bản thuần túy bằng cách thêm một nonce ngẫu nhiên 32 byte vào DEK
• Sử dụng chế độ hoạt động CFB
• Sử dụng IV 16 byte ngẫu nhiên (Vectơ khởi tạo)
• Mã hóa bằng AES256 KEK dựa trên TPM

Ưu điểm của gói khóa AES là nó xác minh tính toàn vẹn của dữ liệu. Khi giải mã, IV kết quả phải được kiểm tra và nếu đó không phải là giá trị ban đầu, thì dữ liệu đã bị giả mạo.

Sử dụng CFB không phải là một phương thức hoạt động tốt vì nó không cung cấp kiểm tra tính toàn vẹn. Nếu bạn muốn sử dụng nó, hãy sử dụng nó theo cách tiêu chuẩn, đó là cung cấp IV bình thường và không thêm dữ liệu vào văn bản gốc và sử dụng HMAC-SHA-256 để che dữ liệu được mã hóa (không phải văn bản gốc) và IV . Khóa bạn sử dụng trong trường hợp này phải độc lập với khóa bạn sử dụng để mã hóa dữ liệu, nhưng bạn có thể lấy được cả hai bằng cách sử dụng một đầu vào duy nhất có KDF như HKDF.