Зависит ли выход (PT) от значения тега (T)?
Нет, если только вы не предполагаете, что возврат ошибки также считается выводом. Этот вывод часто обозначается как $\бот$ в описаниях, хотя в вашей ссылке это обозначено просто как "FAIL".
В конце концов, шифрование, используемое в GCM, представляет собой простое шифрование в режиме счетчика (CTR или SIC). Единственная хитрость заключается в том, что вам может понадобиться вычислить IV для режима счетчика, если размер одноразового номера больше 12 байт. Я создал пример расшифровки без проверки тега на StackOverflow - но обратите внимание, что он предполагает 12-байтовый одноразовый номер.
Если вы хотите иметь режим GCM, в котором расшифровка является в зависимости от тега вы должны взглянуть на режим AES-GCM-SIV. Здесь используется синтетический IV (SIV), который служит тегом аутентификации.
Если вы используете зашифрованный текст перед проверкой, вы уязвимы для бит-специфических изменений в результирующем открытом тексте (злоумышленник может просто перевернуть тот же бит в зашифрованном тексте). Это, в свою очередь, может привести к оракулы открытым текстом что также может повлиять на конфиденциальность.
Расшифровка без прямой проверки все еще имеет ограниченную применимость. вы можете захотеть расшифровать фрагменты зашифрованного текста и поместить результат открытого текста во временный файл, а затем скопировать или переместить временный файл в окончательное место после проверки тега аутентификации. Если проверка возвращает ошибку, временный файл следует уничтожить.