Теоретически, если контрольная сумма вычисляется по простому тексту, она выдаёт больше информации о зашифрованных данных и, следовательно, снижает безопасность. Если он вычисляется по шифру, не имеет значения, зашифрован он или нет.
В pratice можно было атаковать стол радуги. Если вам нужна незашифрованная контрольная сумма над обычным текстом, чтобы проверить правильность пароля (т. Е. Несоответствие контрольной суммы = неправильный пароль), убедитесь, что вы включили соль. В противном случае, вычислите его по cypher или, если вы вычислите его поверх обычного текста, добавьте его к исходным данным и зашифруйте все.
EDIT: Вам не нужно больше контрольной суммы, я думал о том, размер блока алгоритма шифрования ...
От ваших последних сообщений его ясно, что вы медленно и мучительно воссоздает SSL. Хорошо, хорошо для вас, это должно быть образовательным. Теперь вы обнаружили необходимость использования MAC вместо хэша. Google для HMAC или AEAD шифров. –