AES-GCM se încadrează în categoria A5 în lucrare. În AES-GCM nu acceptă $\texttt{no-AAD}$, chiar dacă nu utilizați AAD în timpul criptării, AES-GCM îl convertește ca a $\texttt{lungime-zero-AAD}$.
Vezi în NIST Publicația specială 800-38d, pagina 15;
Algoritmul 4: $GCM-AE_K (IV, P, A)$
â¦
4. Lasă $u = 128\cdot\lceil\operatorname{len}(C)/128\rceil - \operatorname{len}(C)$ si lasa $v = 128\cdot\lceil\operatorname{len}(A)/128\rceil - \operatorname{len}(A)$.
5. Definiți un bloc, $S$, după cum urmează: $$S = \operatorname{GHASH}_H(\mathbf{A \mathbin\| \mathtt 0^v} \mathbin\| C \mathbin\| \mathtt 0^u \mathbin\| \mathbf{[\operatorname{ len}(A)]_{64}} \mathbin\| [\operatorname{len}(C)]_{64}).$$
â¦
În pașii 4 și 5, AAD și textul cifrat sunt atașate fiecare cu un număr minim de â$\mathtt 0$â biți, eventual nici unul, astfel încât lungimile de biți ale șirurilor rezultate să fie multipli ai dimensiunii blocului (Aldinele sunt ale mele).
$A$ sunt date asociate, $len(A) = 0$ prin urmare, $\mathtt{v} = 0$. Chiar și în acest caz, avem $[\operatorname{len}(A)]_{64}$, această codificare pe 64 de biți a lungimii datelor asociate și aceasta va indica întotdeauna existența AAD, cu lungimea zero sau nu!.
Dacă un atacator elimină datele asociate, pentru a le face să pară de lungime zero, în timpul decriptării, trebuie să se oprească cu nepotrivirea etichetei (Opriți întotdeauna și opriți decriptarea imediat).
O schemă care acceptă no-AAD, nu trebuie să conțină informații despre AAD lipsă, altfel se încadrează în AAD de lungime zero.
În cele din urmă, avem protecție suplimentară împotriva falsurilor cu AAD de lungime zero.
