В старом стандарте шифрования ГОСТ 28147-89 был описан MAC, который
просто стыдоба, хотя наверное простительно на тот момент создания, так
как не было ещё атак и криптоанализов подобных функций. Проблема с MAC
28147-89: блоки дополняются просто нулями и поэтому можно получать
идентичный MAC для сообщений отличающихся на некоторое количество нулей
в конце. То есть нет никакого padding.
В 34.13-2015 стандартизируют выработку MAC в виде CMAC. Лично у меня
вообще нареканий к этому нет. Я бы сам сделал такой же выбор.