如果手工对 AES-GCM 算法的明文(和密文)分段，用上一段的 Authentication tag 作为下一段的 Associated data，是否会带来额外安全风险？

資深大佬 : Explr 0

需求是这样的，用.NET 和带认证(AEAD)的算法加密合理长度的文件(几 KB 到一二百 G 不等)。

我不可能把整个文件都加载进内存，一次性传给AesGcm.Encrypt()方法。

但是.NET 库没有为 AES-GCM 提供流式操作方法。

(因为 AES-GCM 解密时，必须在所有块处理完毕后才能验证 Authentication tag 的有效性，而流式操作会在验证 Authentication tag 前返回解密后的明文。这时无法确定已经解密的部分是否曾遭到篡改，Github 讨论如下。）

https://github.com/dotnet/runtime/issues/23365

1.把文件切分成 1M 的数据段处理。

2.对于每个文件，使用唯一的 key 。

3.使用每一段的序号作为加密这一段时使用的 nonce 。

4.对第 n 段加密操作产生的 Authentication tag，作为 n+1 段的 Associated data 。第 1 段的 Associated data 使用 128 位 0 。

5.记录第 1 段的 Authentication tag 以启动加密过程，记录最后一段的 Authentication tag 以验证密文是否遭到篡改。

6.保证在最后一段验证完成前，除了写入到临时文件中，不对已经解密的文件进行任何处理。

tag1, cipherText1 = AES-GCM(plainText1, key, nonce=1, associatedData=0)

tag2, cipherText2 = AES-GCM(plainText2, key, nonce=2, associatedData=tag1)

…

tagN, cipherTextN = AES-GCM(plainTextN-1, key, nonce=n, associatedData=tagN-1)

然后 tag1，tagN，cipherText 1-N 作为密文存储。

这样操作除了失去并行计算能力外，是否会带来额外的脆弱性，使最终的安全性比一次性使用 AES-GCM 算法加密所有数据差？(不考虑文件大于 64GB 时一次性使用 AES-GCM 加密的 counter 重复问题)

大佬有話說 (7)

資深大佬 : billlee

1. associated data 不是必须的，如果没有不需要加密、但需要 authentication 的数据，就不用传
2. 流式解密没有问题，最后如果检验 tag 不成功，再回退（在文件加密的场景就是删除解密出来的文件）就行了。

資深大佬 : 3dwelcome

“对第 n 段加密操作产生的 Authentication tag，作为 n+1 段的 Associated data 。”

Authentication tag 目的是验证 Associated data 是否正确，就好比对 Associated data 进行一次散列化操作，解密时验证一次 Authentication tag, 看 Associated data 和加密内容里，有没有遭到修改。

正常来说，TLS 官方推荐的 Associated data 都是用序列号，没听说过直接用上一次散列值的。就好比 SHA1()安全性和 SHA1(SHA1())安全性来比较，这样用好像也没什么特别的意义。

資深大佬 : 3dwelcome

“3.使用每一段的序号作为加密这一段时使用的 nonce 。”

我看 TLS 协议里，AEAD 算法的 nonce，用的都是 unpredictable IV, 也就是随机数，不知道你用序列号来替代，有没有问题。

資深大佬 : xiangyuecn

你在想加密 1 个 1MB 的数据很安全，但加密 1000 个 1MB 的数据不安全

資深大佬 : Rheinmetal

没有 Associate Data 的话为啥要用 GCM ？

資深大佬 : Halry

建议直接 ctr 后加 cmac，或者 ctr 后加 hash 就好
gcm 好像就是为了能并行计算产生的，没的并行计算没有必要搞 gcm

主資深大佬 : Explr

感谢大佬们