<div dir="ltr">This is likely a dumb question, but it came to mind as I was reading the paper describing SWEET32. There, the authors assert that because block ciphers are random permutations as opposed to random functions, their collision properties under CTR mode are the same as under CBC. Parenthetically, they relate that the collision time increases to 2^n if you used a random function.<div><br></div><div>Based on that, I wonder: what's wrong with using CTR where the "block cipher" is SHA256(IV | key)? The intent is to use the hash as a keyed random function - if there's a problem with the naive approach here, can the construction be done?</div><div><br></div><div>Judson</div></div>