Допустим, есть клиент и сервер, они оба имеют сертификаты. Они произвели TLS-хэндшейк, в рамках которого аутентифицировали друг друга, обменялись ключами, выбрали параметры шифрования, все чин по чину. Далее они производят обмен шифрованым трафиком. То есть, обычный TLS с аутентификацией обоих сторон.

В этом случае, не является ли использование MAC для каждого сообщения избыточным? Почему не используется просто контроль целостности сообщения средствами более простых примитивов (MIC, дайджест, стойкий хэш)? Зачем аутентифицировать _каждое_ сообщение отдельно? Как может выглядеть атака, если вместо MAC для каждого сообщения будет использоваться MIC?