Какие преимущества и недостатки имеет режим GCM по сравнению с другими режимами шифрования?

Некоторые преимущества режима GCM по сравнению с другими режимами шифрования:

• Аутентификация шифртекста. 1 Знание ключа шифрования позволяет проверить целостность шифртекста и обнаружить несанкционированные изменения. 1 Это улучшает защиту от искажений, атак активного MITM и атак на основе оракулов. 3
• Высокая эффективность и производительность. 3 GCM использует параллельную обработку на нескольких ядрах процессора, его реализация эффективно использует конвейер команд CPU. 5
• Удобство использования. 2 При правильной реализации GCM почти всегда работает быстрее, и его легче использовать, чем комбинацию AES + HMAC. 2

Некоторые недостатки режима GCM по сравнению с другими режимами шифрования:

• Ограничение по размеру блока. 1 GCM работает только для 128-битовых блоков и требует 96-битового IV. 1 Поэтому его невозможно использовать со старыми 64-битовыми блочными шифрами. 1
• Уязвимость для атак. 1 Режим GCM уязвим для различных атак, если пара ключ–IV повторно используется для нескольких сообщений. 1
• Снижение производительности для некоторых устройств. 3 GCM подвергся критике в мире встраиваемых систем, поскольку параллельная обработка не подходит для эффективного использования криптографических аппаратных движков. 3