Gcm

是否應該對傳遞給 GCM 的 nonce 進行身份驗證?

  • January 23, 2015

此答案建議在使用 AES 和 HMAC 時使用 HMAC 對 IV 進行身份驗證。

由於 AES-GCM 也提供身份驗證,因此通過網路傳遞給 GCM 的外部 nonce 是否應該單獨進行身份驗證?如果不是,為什麼不呢?如果應該是推薦的方法是什麼?

通過網路傳遞給 GCM 的外部 nonce 是否應該單獨進行身份驗證?

不,這沒有必要;它由 GCM 本身隱式驗證,就像 AAD 也經過驗證一樣。也就是說,如果中間有人修改了 nonce,那麼這將改變解密器作為 GCM 解密過程的一部分計算的身份驗證標籤(並以沒有密鑰的人無法預測的方式改變它)。由於該標籤與加密數據包附帶的身份驗證標籤不匹配,因此更改的數據包將被拒絕。

引用自:https://crypto.stackexchange.com/questions/22541