是否應該對傳遞給 GCM 的 nonce 進行身份驗證？

此答案建議在使用 AES 和 HMAC 時使用 HMAC 對 IV 進行身份驗證。

由於 AES-GCM 也提供身份驗證，因此通過網路傳遞給 GCM 的外部 nonce 是否應該單獨進行身份驗證？如果不是，為什麼不呢？如果應該是推薦的方法是什麼？

通過網路傳遞給 GCM 的外部 nonce 是否應該單獨進行身份驗證？

不，這沒有必要；它由 GCM 本身隱式驗證，就像 AAD 也經過驗證一樣。也就是說，如果中間有人修改了 nonce，那麼這將改變解密器作為 GCM 解密過程的一部分計算的身份驗證標籤（並以沒有密鑰的人無法預測的方式改變它）。由於該標籤與加密數據包附帶的身份驗證標籤不匹配，因此更改的數據包將被拒絕。

引用自：https://crypto.stackexchange.com/questions/22541