PENTRU funcția de decriptare AES GCM, ieșirea (PT) depinde de valoarea etichetei (T)?

Conform specificațiilor, intrarea funcției de decriptare FOR GCM este IV, A, C și T. După cum se menționează mai jos:

5.2.2 Funcția de decriptare autentificată Având în vedere selecția unui cifr de bloc aprobat, a unei chei și a unei lungimi de etichetă asociată, intrările la funcția de decriptare autentificată sunt valori pentru IV, A, C și T, așa cum este descris în Sec. 5.2.1 de mai sus. Ieșirea este una dintre ca urmare a:

• textul simplu P care corespunde textului cifrat C sau
• un cod de eroare special, notat FAIL în acest document.

Mă refeream la un model de referință AES GCM disponibil online și am văzut pentru decriptare pentru a calcula rezultatul PT, nu ia în considerare valoarea Tag.

Ieșirea (PT) depinde de valoarea etichetei (T)?

Link model de referință: https://github.com/mko-x/SharedAES-GCM/blob/master/Sources/gcmtest.c

În GCM, textul simplu este calculat fără etichetă. Dar decizia dacă este sigur să lansați textul simplu depinde de etichetă! Dacă eticheta nu este corectă, trebuie să returnați o eroare. Fără eticheta „păzind” lansarea textului simplu, este banal ca un atacator să modifice conținutul unui text cifrat.

Ieșirea (PT) depinde de valoarea etichetei (T)?

Nu, nu, cu excepția cazului în care presupuneți că returnarea unei erori este considerată și ieșire. Această ieșire este adesea desemnată ca $\bot$ în descrieri, deși referința dvs. îl desemnează pur și simplu „FAIL”.

În cele din urmă, criptarea utilizată în GCM este pur și simplu criptare în modul contor (CTR sau SIC). Singurul truc este că poate fi necesar să calculați IV pentru modul contor dacă dimensiunea nonce este mai mare de 12 octeți. Am creat un exemplu de decriptare fără verificarea etichetei pe StackOverflow - dar rețineți că presupune un nonce de 12 octeți.

Dacă doriți să aveți un mod GCM unde decriptarea este în funcție de etichetă, ar trebui să aruncați o privire la modul AES-GCM-SIV. Aici este folosit un IV sintetic (SIV) care funcționează ca etichetă de autentificare.

Dacă utilizați textul cifrat înainte de verificare, sunteți vulnerabil la modificări specifice biților în textul simplu rezultat (atacatorul poate doar răsturna același bit în textul cifrat). Acest lucru poate duce, la rândul său, la oracole în text clar care ar putea afecta și confidențialitatea.

Decriptarea fără verificare directă are încă o aplicabilitate limitată. poate doriți să decriptați bucăți de text cifrat și să puneți rezultatul textului simplu într-un fișier temporar, apoi să copiați sau să mutați fișierul temporar în locația finală odată ce eticheta de autentificare a fost verificată. Dacă verificarea returnează o eroare, fișierul temporar ar trebui să fie distrus.