AES-GCM
O que é AES-GCM?
AES-GCMModo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo.
AES-GCM (Galois/Counter Mode) é o modo de cifragem autenticada com dados associados (AEAD) padronizado em NIST SP 800-38D. Usa AES (bloco de 128 bits, chaves de 128/192/256 bits) em modo CTR para cifrar e uma função GHASH em GF(2^128) para produzir uma etiqueta de autenticação de 128 bits sobre o texto cifrado e os dados autenticados adicionais (AAD). Um único passo gera ao mesmo tempo confidencialidade e integridade e, como o modo contador é totalmente paralelo e beneficia das instruções de hardware AES-NI, o AES-GCM é a escolha padrão em TLS 1.2/1.3 (RFC 5288, RFC 8446), IPsec, SSH e 802.11ac.
A sua fraqueza determinante é o colapso catastrófico em caso de reutilização de nonce. A autenticação do GCM é um MAC polinomial avaliado numa chave derivada da cifragem do bloco zero; repetir um nonce de 96 bits sob a mesma chave produz dois textos cifrados cujas equações de etiqueta permitem que um atacante resolva essa chave de autenticação (o "ataque proibido" descrito por Antoine Joux). Uma vez recuperada, o atacante pode forjar etiquetas válidas para mensagens arbitrárias. Isto não é teórico: em 2016, o estudo Nonce-Disrespecting Adversaries (Böck, Zauner, Devlin, Somorovsky, Jovanovic, USENIX WOOT) varreu a internet e encontrou 184 servidores HTTPS a repetir nonces — incluindo instituições financeiras — quebrando por completo a autenticidade das suas conexões, além de mais de 70.000 servidores a usar nonces aleatórios que arriscam colisões em sessões longas.
Defesas: usar nonces determinísticos ou baseados em contador, nunca aleatórios; limitar os dados por chave (o NIST limita a ~2³² blocos); ou adotar modos resistentes ao uso indevido de nonce, como AES-GCM-SIV (RFC 8452).
flowchart TD K[Chave AES] --> CTR N[Nonce/IV de 96 bits] --> CTR[AES-CTR cifragem] P[Texto em claro] --> CTR CTR --> C[Texto cifrado] C --> G[GHASH sobre GF 2^128] AAD[Dados autenticados adicionais] --> G G --> T[Etiqueta de autenticação de 128 bits] C --> OUT[Texto cifrado + etiqueta] T --> OUT N -. reutilização sob a mesma chave .-> X[Ataque proibido:<br/>recupera chave de autenticação, forja etiquetas]
● Exemplos
- 01
Suite TLS 1.3 TLS_AES_128_GCM_SHA256.
- 02
Cifragem de disco e por registo em serviços KMS na nuvem.
● Perguntas frequentes
O que é AES-GCM?
Modo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo. Pertence à categoria Criptografia da cibersegurança.
O que significa AES-GCM?
Modo de cifragem autenticada que combina AES em modo contador com uma etiqueta de autenticação baseada em GHASH para confidencialidade e integridade num único passo.
Como se defender contra AES-GCM?
As defesas contra AES-GCM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para AES-GCM?
Nomes alternativos comuns: Modo Galois/Contador, AES-128-GCM, AES-256-GCM.