Какие преимущества и недостатки имеет режим GCM по сравнению с другими режимами шифрования?

Некоторые преимущества режима GCM по сравнению с другими режимами шифрования:

• Аутентификация шифртекста. ubiklab.net Знание ключа шифрования позволяет проверить целостность шифртекста и обнаружить несанкционированные изменения. ubiklab.net Это улучшает защиту от искажений, атак активного MITM и атак на основе оракулов. ru.wikipedia.org
• Высокая эффективность и производительность. ru.wikipedia.org GCM использует параллельную обработку на нескольких ядрах процессора, его реализация эффективно использует конвейер команд CPU. codeby.net
• Удобство использования. crypto.stackexchange.com При правильной реализации GCM почти всегда работает быстрее, и его легче использовать, чем комбинацию AES + HMAC. crypto.stackexchange.com

Некоторые недостатки режима GCM по сравнению с другими режимами шифрования:

• Ограничение по размеру блока. ubiklab.net GCM работает только для 128-битовых блоков и требует 96-битового IV. ubiklab.net Поэтому его невозможно использовать со старыми 64-битовыми блочными шифрами. ubiklab.net
• Уязвимость для атак. ubiklab.net Режим GCM уязвим для различных атак, если пара ключ–IV повторно используется для нескольких сообщений. ubiklab.net
• Снижение производительности для некоторых устройств. ru.wikipedia.org GCM подвергся критике в мире встраиваемых систем, поскольку параллельная обработка не подходит для эффективного использования криптографических аппаратных движков. ru.wikipedia.org