AES-GCM
Qu'est-ce que AES-GCM ?
AES-GCMMode de chiffrement authentifié combinant AES en mode compteur avec une étiquette d'authentification basée sur GHASH pour assurer confidentialité et intégrité en une seule passe.
AES-GCM (Galois/Counter Mode) est le mode de chiffrement authentifié avec données associées (AEAD) normalisé dans le NIST SP 800-38D. Il utilise AES (bloc 128 bits, clés 128/192/256 bits) en mode CTR pour le chiffrement et une fonction GHASH sur GF(2^128) pour produire une étiquette d'authentification de 128 bits portant sur le chiffré et les données authentifiées additionnelles (AAD). Une seule passe fournit à la fois confidentialité et intégrité, et comme le mode compteur est entièrement parallélisable et profite des instructions matérielles AES-NI, AES-GCM est la suite par défaut de TLS 1.2/1.3 (RFC 5288, RFC 8446), d'IPsec, de SSH et de 802.11ac.
Sa faiblesse caractéristique est une défaillance catastrophique en cas de réutilisation de nonce. L'authentification de GCM est un MAC polynomial évalué en une clé dérivée du chiffrement du bloc nul ; réutiliser un nonce de 96 bits sous la même clé donne deux chiffrés dont les équations d'étiquettes permettent à un attaquant de résoudre cette clé d'authentification (l'« attaque interdite » décrite par Antoine Joux). Une fois récupérée, l'attaquant peut forger des étiquettes valides pour des messages arbitraires. Ce n'est pas théorique : en 2016, l'étude Nonce-Disrespecting Adversaries (Böck, Zauner, Devlin, Somorovsky, Jovanovic, USENIX WOOT) a scanné Internet et découvert 184 serveurs HTTPS réutilisant des nonces — dont des institutions financières — brisant complètement l'authenticité de leurs connexions, ainsi que plus de 70 000 serveurs utilisant des nonces aléatoires risquant une collision sur les sessions longues.
Parades : utiliser des nonces déterministes ou basés sur un compteur, jamais aléatoires ; plafonner le volume de données par clé (le NIST limite à ~2³² blocs) ; ou adopter des modes résistants à la réutilisation de nonce comme AES-GCM-SIV (RFC 8452).
flowchart TD K[Clé AES] --> CTR N[Nonce/IV de 96 bits] --> CTR[Chiffrement AES-CTR] P[Texte clair] --> CTR CTR --> C[Texte chiffré] C --> G[GHASH sur GF 2^128] AAD[Données authentifiées additionnelles] --> G G --> T[Étiquette d'auth. de 128 bits] C --> OUT[Texte chiffré + étiquette] T --> OUT N -. réutilisation sous la même clé .-> X[Attaque interdite :<br/>récupérer la clé d'auth, forger des étiquettes]
● Exemples
- 01
Suite TLS 1.3 TLS_AES_128_GCM_SHA256.
- 02
Chiffrement de disque et chiffrement par enregistrement dans les services KMS cloud.
● Questions fréquentes
Qu'est-ce que AES-GCM ?
Mode de chiffrement authentifié combinant AES en mode compteur avec une étiquette d'authentification basée sur GHASH pour assurer confidentialité et intégrité en une seule passe. Cette notion relève de la catégorie Cryptographie en cybersécurité.
Que signifie AES-GCM ?
Mode de chiffrement authentifié combinant AES en mode compteur avec une étiquette d'authentification basée sur GHASH pour assurer confidentialité et intégrité en une seule passe.
Comment se défendre contre AES-GCM ?
Les défenses contre AES-GCM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de AES-GCM ?
Noms alternatifs courants : Mode Galois/Compteur, AES-128-GCM, AES-256-GCM.