>Я так и не понял, чем это плохо. Если шифруем в каком-то другом режиме, отличном от ECB (все их не знаю, но есть какой-то, где для шифрования текущего блока используется предыдущий шифроблок)
В таком случае, Вам придется вместе с блочным шифром со всей его внутренней машинерией разрабатывать ещё и безопасные режимы его включения. Потому что кроме ECB, не всякий режим подойдёт. Использование CTR, например, может привести к переполнению счётчика и перекрытию гаммы. Тогда совпадающие шифротексты будут означать совпадающие открытые тексты, что является нарушением семантической стойкости.
Вообще, я полагаю, что наличие двух одинаковых шифротекстов на выходе блочного шифра уже некоторым образом нарушает семантическую стойкость, потому что появляются основания делать гипотезы об открытом тексте (открытых текстах) с вероятностью бо́льшей, чем пренебрежимо малая.
