AES-GCM
¿Qué es AES-GCM?
AES-GCMModo de cifrado autenticado que combina AES en modo contador con una etiqueta de autenticación basada en GHASH para confidencialidad e integridad en una sola pasada.
AES-GCM (Galois/Counter Mode) es el modo de cifrado autenticado con datos asociados (AEAD) estandarizado en NIST SP 800-38D. Utiliza AES (bloque de 128 bits, claves de 128/192/256 bits) en modo CTR para el cifrado y una función GHASH sobre GF(2^128) para producir una etiqueta de autenticación de 128 bits sobre el texto cifrado y los datos autenticados adicionales (AAD). Una sola pasada proporciona a la vez confidencialidad e integridad y, dado que el modo contador es totalmente paralelo y se beneficia de las instrucciones hardware AES-NI, AES-GCM es el modo predeterminado en TLS 1.2/1.3 (RFC 5288, RFC 8446), IPsec, SSH y 802.11ac.
Su debilidad característica es el fallo catastrófico ante la reutilización del nonce. La autenticación de GCM es un MAC polinómico evaluado en una clave derivada de cifrar el bloque cero; repetir un nonce de 96 bits con la misma clave produce dos textos cifrados cuyas ecuaciones de etiqueta permiten a un atacante despejar esa clave de autenticación (el "ataque prohibido" (forbidden attack) descrito por Antoine Joux). Una vez recuperada, el atacante puede falsificar etiquetas válidas para mensajes arbitrarios. Esto no es teórico: en 2016 el estudio Nonce-Disrespecting Adversaries (Böck, Zauner, Devlin, Somorovsky, Jovanovic, USENIX WOOT) escaneó internet y encontró 184 servidores HTTPS que reutilizaban nonces —incluidas entidades financieras— rompiendo por completo la autenticidad de sus conexiones, además de más de 70 000 servidores que usaban nonces aleatorios con riesgo de colisión en sesiones largas.
Defensas: usar nonces deterministas o basados en contador, nunca aleatorios; limitar los datos por clave (NIST limita a ~2³² bloques); o adoptar modos resistentes al mal uso del nonce como AES-GCM-SIV (RFC 8452).
flowchart TD K[Clave AES] --> CTR N[Nonce/IV de 96 bits] --> CTR[Cifrado AES-CTR] P[Texto en claro] --> CTR CTR --> C[Texto cifrado] C --> G[GHASH sobre GF 2^128] AAD[Datos autenticados adicionales] --> G G --> T[Etiqueta de auth de 128 bits] C --> OUT[Texto cifrado + etiqueta] T --> OUT N -. reutilización con la misma clave .-> X[Ataque prohibido:<br/>recuperar clave de auth, falsificar etiquetas]
● Ejemplos
- 01
Suite TLS 1.3 TLS_AES_128_GCM_SHA256.
- 02
Cifrado de discos y de registros en servicios KMS en la nube.
● Preguntas frecuentes
¿Qué es AES-GCM?
Modo de cifrado autenticado que combina AES en modo contador con una etiqueta de autenticación basada en GHASH para confidencialidad e integridad en una sola pasada. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa AES-GCM?
Modo de cifrado autenticado que combina AES en modo contador con una etiqueta de autenticación basada en GHASH para confidencialidad e integridad en una sola pasada.
¿Cómo defenderse de AES-GCM?
Las defensas contra AES-GCM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para AES-GCM?
Nombres alternativos comunes: Modo Galois/Contador, AES-128-GCM, AES-256-GCM.