GCM 在具体的安全模型中被证明是安全的。 [19]当它与与随机排列无法区分的分组密码一起使用时,它是安全的;然而,安全性取决于为使用相同密钥执行的每个加密选择唯一的初始化向量(参见流密码攻击)。对于任何给定的密钥和初始化向量组合,GCM 仅限于加密239−256位纯文本 (64 GiB)。 NIST 特别出版物 800-38D 包括初始化向量选择指南。
身份验证强度取决于身份验证标签的长度,就像所有对称消息身份验证代码一样。不鼓励在 GCM 中使用较短的身份验证标签。标记的位长,用 t 表示,是一个安全参数。一般来说,t 可以是以下五个值中的任意一个:128、120、112、104 或 96。对于某些应用,t 可能是 64 或 32,但这两个标签长度的使用限制了输入的长度数据和密钥的生命周期。 NIST SP 800-38D 中的附录 C 为这些约束提供了指导(例如,如果 t = 32 且最大数据包大小为 210 字节,则应调用身份验证解密函数不超过 211 次;如果 t = 64 且最大数据包大小为数据包大小为 215 字节,认证解密函数调用不超过 232 次)。
与任何消息认证代码一样,如果对手随机选择一个 t位标签,则对于概率度量为 2 - t 的给定数据,它预计是正确的。然而,使用 GCM,对手可以通过选择带有 n 个单词的标签——密文的总长度加上任何额外的认证数据 (AAD)——以概率度量 2 - t乘以 n 来增加成功的可能性。尽管如此,必须记住,对于任意大的t ,这些最佳标签仍然由算法的生存度量1 − n⋅2−t主导。此外,GCM 既不适合用于非常短的标签长度,也不适合用于非常长的消息。
Ferguson 和 Saarinen 分别描述了攻击者如何针对 GCM 身份验证执行最优攻击,满足其安全性的下限。 Ferguson 表明,如果n表示编码中的块总数(GHASH 函数的输入),那么有一种方法可以构建目标密文伪造,预计成功的概率约为n ⋅2 − t .如果标签长度t小于 128,那么这次攻击中的每一次成功伪造都会增加后续有针对性的伪造成功的概率,并泄漏有关哈希子密钥的信息, H .最终, H可能会被完全破坏,并且完全失去认证保证。 [20]
除了这种攻击,攻击者可能会尝试系统地猜测给定输入的许多不同标签以进行身份验证解密,从而增加其中一个(或多个)最终被视为有效的可能性。因此,实现 GCM 的系统或协议应监控并在必要时限制每个密钥的不成功验证尝试次数。
Saarinen 描述了 GCM弱密钥。 [21]这项工作为基于多项式哈希的身份验证的工作原理提供了一些有价值的见解。更准确地说,这项工作描述了一种在给定有效 GCM 消息的情况下伪造 GCM 消息的特定方法,对于n × 128位长的n⋅2−128然而,这项工作并没有表现出比以前已知的更有效的攻击;本文观察 1 中的成功概率与 INDOCRYPT 2004 分析中引理 2 的成功概率相匹配(设置w = 128和l = n × 128 )。 Saarinen 还描述了基于 Sophie Germain primes的 GCM 变体 Sophie Germain Counter Mode (SGCM)。