Ieșirea (PT) depinde de valoarea etichetei (T)?
Nu, nu, cu excepția cazului în care presupuneți că returnarea unei erori este considerată și ieșire. Această ieșire este adesea desemnată ca $\bot$ în descrieri, deși referința dvs. îl desemnează pur și simplu „FAIL”.
În cele din urmă, criptarea utilizată în GCM este pur și simplu criptare în modul contor (CTR sau SIC). Singurul truc este că poate fi necesar să calculați IV pentru modul contor dacă dimensiunea nonce este mai mare de 12 octeți. Am creat un exemplu de decriptare fără verificarea etichetei pe StackOverflow - dar rețineți că presupune un nonce de 12 octeți.
Dacă doriți să aveți un mod GCM unde decriptarea este în funcție de etichetă, ar trebui să aruncați o privire la modul AES-GCM-SIV. Aici este folosit un IV sintetic (SIV) care funcționează ca etichetă de autentificare.
Dacă utilizați textul cifrat înainte de verificare, sunteți vulnerabil la modificări specifice biților în textul simplu rezultat (atacatorul poate doar răsturna același bit în textul cifrat). Acest lucru poate duce, la rândul său, la oracole în text clar care ar putea afecta și confidențialitatea.
Decriptarea fără verificare directă are încă o aplicabilitate limitată. poate doriți să decriptați bucăți de text cifrat și să puneți rezultatul textului simplu într-un fișier temporar, apoi să copiați sau să mutați fișierul temporar în locația finală odată ce eticheta de autentificare a fost verificată. Dacă verificarea returnează o eroare, fișierul temporar ar trebui să fie distrus.