Почему SHA-224 и SHA-256 используют разные начальные значения?

Википедия - SHA-2 говорит

SHA-224 идентичен SHA-256, за исключением того, что:

начальные значения переменных от h0 до h7 различны, и

выход строится путем пропуска h7.

RFC3874 - 224-битная односторонняя хэш-функция: SHA-224 говорит

Использование другого начального значения гарантирует, что усеченное значение дайджеста сообщения SHA-256 не может быть ошибочно принято за значение дайджеста сообщения SHA-224, вычисленное для тех же данных.

Мои вопросы:

Является ли приведенная выше причина единственной причиной, по которой SHA-224 и SHA-256 используют разные начальные значения?
Почему важно убедиться, что значение дайджеста сообщения SHA-256 не может быть ошибочно принято за значение дайджеста сообщения SHA-224?
Если мы используем одинаковые начальные значения для обеих хеш-функций, ухудшится ли безопасность любой хеш-функции? Если да, то как?

cr.crypto-security hash-function

— netvope
источник

Это почти наверняка лучше подходит для crypto.SE .

— Питер Тейлор

По крайней мере, вопрос 2, кажется, здесь не по теме. Ведь это связано с тем, как люди используют компьютеры и что им удобно; не совсем вопрос TCS.

— Юкка Суомела

Связанный вопрос на Crypto.SE: crypto.stackexchange.com/questions/3946/…

— mikeazo

Это мы назвали разделением домена, когда мы используем один и тот же алгоритм для разного размера вывода.
Разделение необходимо, потому что если я нашел два сообщения, которые имеют значение хеш-функции (SH256), отличается только последним октетом, а затем я могу опубликовать значение хеш-функции в качестве первого 7-го октета, показывающего, что я использовал SHA224. так как у меня уже есть два сообщения, сталкивающиеся на SHA224, которые я могу использовать позже для подделки. Используя разделение доменов, мы можем избежать такой ситуации

— Tarun
источник