使用 64 位密碼實現 GCM

論文The Galois/Counter Mode of Operation (GCM)主要描述了 128 位情況，用於 128 位分組密碼，例如 AES。AES-GCM測試向量可從 NIST 獲得。

該論文還描述了 64 位分組密碼的 GCM。我的問題是，是否有人真正為 64 位分組密碼和/或已發布的測試向量實現了 GCM？

在大多數情況下不建議這樣做。請注意，如果 IV 重複，AES-GCM 會嚴重失敗。在 64 位分組密碼中，如果您希望此類失敗的機率低於 $ 2^{-32} $ ，那麼您可以加密的消息數量將非常有限。如果您可以保證每次都有唯一的 IV，並且不使用隨機 IV 來獲得唯一性，那麼也許可以。

我一直在努力尋找保護數據免受被動供電 RFID 標籤影響的好方法，這些標籤在其生命週期中發送的數據少於 1k。密碼學家不了解比您可以投入安全性的資金更真實的工程限制。我擁有Simon Cipher的所有密碼本向量，我最終在一些 RFID 應用中使用了 SIMON32/64，因為總價值不到 10 美元。對於汽車，您可能需要考慮比 64 位更強大的東西。

引用自：https://crypto.stackexchange.com/questions/66068