在AES-GCM中，长IVs是如何使用的？

Question

我查看了NIST的官方测试向量(CAVP)的AES-GCM模式，并注意到在那里有一些测试向量与8位或1024位IVs。但据我所知，GCM指南特别坚持使用96位IVs.

我看了一下SP 800-38D，发现在使用这类IVs时没有明确的指导方针。专门针对四、施工的8.2节说：

假设一个实现支持64位、96位、128位和160位的IV长度。对于64位IVs来说，唯一的选择是在Sec进行建设。8.2.1.对于其他三个IV长度，一个可能的组合选择是Sec的结构。8.2.1对于96位IVs和Sec的建设。8.2.2 128位和160位IVs。

第8.2.2节提到了基于RBG的构建，但是对于我们应该如何处理1024位IV并没有给出明确的指导，我希望有一个明确的算法指南。

Answer 1

非96位IVs的处理在GCM算法第7节中被指定并作为GCM算法的一部分。任何人都可以看出，非96位IVs最终被压缩为96位，这意味着它们实际上是96位IVs，这就是为什么大多数指南建议只使用96位的IVs。