AES256-GCM Безопасно ли добавлять IV в AAD и использовать его в шифровании?

IV обычно предварительно добавляется к зашифрованному тексту. Они пропустили это? IV есть только на AAD или уже есть два IV? Есть ссылка на документ/источник? Пожалуйста, не статью из выпускных работ бакалавриата.

Возможно, они думают об аутентифицированном хеджированном шифровании со связанными данными (AHEAD): используя AEAD, такой как AES-GCM, используйте MAC-адрес сообщения в качестве IV (с ключом шифрования в качестве ключа MAC), а затем вставьте случайный одноразовый номер в ААД. Это делает его аутентифицированным недетерминированным шифрованием с фиксацией ключей. Это занимает 2 прохода, и для AHEAD есть лучшие конструкции, чем использование AES-GCM, но это достаточно безопасно. (Если вам нужен AES, можно использовать AES-GCM-SIV со случайным 256-разрядным одноразовым номером в AAD, за которым следует значение проверки ключа, но это требует большего дизайна.)

Этот вопрос требует некоторой ясности, чтобы правильно ответить. Как вы думаете, почему IV является частью сообщения? Каков контекст протокола? Можно иметь IV в AAD, и все будет хорошо, IV не является секретными данными, поэтому добавление IV в AAD само по себе не вредно. Но AES256-GCM не указывает, как выбрать IV, и помещать его в AAD странно, поэтому возможно, что везде, где вы видели, это делает что-то дико небезопасное! Без ссылки на источник мы не можем точно ответить, вреден ли этот случай.

Этот вопрос на других языках: