Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 026

AES-GCM

Revisado porCybersecurity entrepreneur & security researcher

O que é AES-GCM?

AES-GCMModo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo.


AES-GCM (Galois/Counter Mode) é o modo de cifragem autenticada com dados associados (AEAD) padronizado em NIST SP 800-38D. Usa AES (bloco de 128 bits, chaves de 128/192/256 bits) em modo CTR para cifrar e uma função GHASH em GF(2^128) para produzir uma etiqueta de autenticação de 128 bits sobre o texto cifrado e os dados autenticados adicionais (AAD). Um único passo gera ao mesmo tempo confidencialidade e integridade e, como o modo contador é totalmente paralelo e beneficia das instruções de hardware AES-NI, o AES-GCM é a escolha padrão em TLS 1.2/1.3 (RFC 5288, RFC 8446), IPsec, SSH e 802.11ac.

A sua fraqueza determinante é o colapso catastrófico em caso de reutilização de nonce. A autenticação do GCM é um MAC polinomial avaliado numa chave derivada da cifragem do bloco zero; repetir um nonce de 96 bits sob a mesma chave produz dois textos cifrados cujas equações de etiqueta permitem que um atacante resolva essa chave de autenticação (o "ataque proibido" descrito por Antoine Joux). Uma vez recuperada, o atacante pode forjar etiquetas válidas para mensagens arbitrárias. Isto não é teórico: em 2016, o estudo Nonce-Disrespecting Adversaries (Böck, Zauner, Devlin, Somorovsky, Jovanovic, USENIX WOOT) varreu a internet e encontrou 184 servidores HTTPS a repetir nonces — incluindo instituições financeiras — quebrando por completo a autenticidade das suas conexões, além de mais de 70.000 servidores a usar nonces aleatórios que arriscam colisões em sessões longas.

Defesas: usar nonces determinísticos ou baseados em contador, nunca aleatórios; limitar os dados por chave (o NIST limita a ~2³² blocos); ou adotar modos resistentes ao uso indevido de nonce, como AES-GCM-SIV (RFC 8452).

flowchart TD
  K[Chave AES] --> CTR
  N[Nonce/IV de 96 bits] --> CTR[AES-CTR cifragem]
  P[Texto em claro] --> CTR
  CTR --> C[Texto cifrado]
  C --> G[GHASH sobre GF 2^128]
  AAD[Dados autenticados adicionais] --> G
  G --> T[Etiqueta de autenticação de 128 bits]
  C --> OUT[Texto cifrado + etiqueta]
  T --> OUT
  N -. reutilização sob a mesma chave .-> X[Ataque proibido:<br/>recupera chave de autenticação, forja etiquetas]

Exemplos

  1. 01

    Suite TLS 1.3 TLS_AES_128_GCM_SHA256.

  2. 02

    Cifragem de disco e por registo em serviços KMS na nuvem.

Perguntas frequentes

O que é AES-GCM?

Modo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo. Pertence à categoria Criptografia da cibersegurança.

O que significa AES-GCM?

Modo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo.

Como se defender contra AES-GCM?

As defesas contra AES-GCM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para AES-GCM?

Nomes alternativos comuns: Modo Galois/Contador, AES-128-GCM, AES-256-GCM.

Termos relacionados

Ver também