ДЛЯ функции дешифрования AES GCM. Зависит ли выход (PT) от значения тега (T)?

Согласно спецификации, ввод функции расшифровки FOR GCM — IV, A, C и T. Как указано ниже:

5.2.2 Функция аутентификации дешифрования При выборе утвержденного блочного шифра, ключа и соответствующей длины тега входные данные аутентифицированной функции дешифрования являются значениями для IV, A, C и Т, как описано в гл. 5.2.1 выше. Выход - один из следующий:

• открытый текст P, который соответствует зашифрованному тексту C, или
• специальный код ошибки, обозначаемый в этом документе как FAIL.

Я имел в виду эталонную модель AES GCM, доступную в Интернете, и я видел, что расшифровка для расчета результата PT не учитывает значение тега.

Зависит ли выход (PT) от значения тега (T)?

Ссылка на эталонную модель: https://github.com/mko-x/SharedAES-GCM/blob/master/Sources/gcmtest.c

В GCM открытый текст вычисляется без тега. Но решение о том, безопасно ли выпускать открытый текст, зависит от тега! Если тег неверен, вы должны вернуть ошибку. Без тега, «охраняющего» раскрытие открытого текста, злоумышленнику несложно изменить содержимое зашифрованного текста.

Зависит ли выход (PT) от значения тега (T)?

Нет, если только вы не предполагаете, что возврат ошибки также считается выводом. Этот вывод часто обозначается как $\бот$ в описаниях, хотя в вашей ссылке это обозначено просто как "FAIL".

В конце концов, шифрование, используемое в GCM, представляет собой простое шифрование в режиме счетчика (CTR или SIC). Единственная хитрость заключается в том, что вам может понадобиться вычислить IV для режима счетчика, если размер одноразового номера больше 12 байт. Я создал пример расшифровки без проверки тега на StackOverflow - но обратите внимание, что он предполагает 12-байтовый одноразовый номер.

Если вы хотите иметь режим GCM, в котором расшифровка является в зависимости от тега вы должны взглянуть на режим AES-GCM-SIV. Здесь используется синтетический IV (SIV), который служит тегом аутентификации.

Если вы используете зашифрованный текст перед проверкой, вы уязвимы для бит-специфических изменений в результирующем открытом тексте (злоумышленник может просто перевернуть тот же бит в зашифрованном тексте). Это, в свою очередь, может привести к оракулы открытым текстом что также может повлиять на конфиденциальность.

Расшифровка без прямой проверки все еще имеет ограниченную применимость. вы можете захотеть расшифровать фрагменты зашифрованного текста и поместить результат открытого текста во временный файл, а затем скопировать или переместить временный файл в окончательное место после проверки тега аутентификации. Если проверка возвращает ошибку, временный файл следует уничтожить.