5.1.1. Nonce Reuse (ノンスの再利用)

同一の鍵で, 異なる平文値をもつ 2 回の GCM 暗号化操作に同じノンスが不用意に再利用されると, それら 2 回の呼び出しで保護された平文の機密性が損なわれ, その鍵が提供する真正性および完全性保護のすべてが損なわれます。この理由から, GCM はノンス一意性を確信をもって提供できる場合に限り用いるべきである。GCM が最小遅延を達成するために用いる設計上の特徴が, 鍵の後続利用における脆弱性を生じさせます。復号操作に同じノンス値を複数回入力することは許容されることに注意。

攻撃者が同一のノンスと鍵で作成された 2 つの暗号文を観測した場合, 2 回の暗号化呼び出しにおける平文と AD の値がいずれも同一でない限り, セキュリティ上の帰結は極めて深刻です。第一に, 2 つの平文値のビット単位の排他的論理和を再構成できるため, 機密性が失われます。第二に, データ完全性を提供するのに用いられる内部ハッシュ鍵を攻撃者が回復できるため, 完全性が失われます。この鍵の知識は, 以降の偽造を自明にします。