为什么GHASH输出在GCM模式下被加密以计算标签？

Question

为了在Galois/计数器模式(GCM)中计算身份验证标记，首先使用GHASH对密码文本和附加数据计算MAC。然后，使用GCTR加密此MAC (使用第一个计数器)。

我的问题是:为什么这是最后的加密步骤呢？如果我直接使用GHASH的输出作为身份验证标记，那么安全性问题是什么？

Answer 1

如果我直接使用GHASH的输出作为身份验证标记，那么安全性问题是什么？

然后，监听加密消息的人可以恢复H，其中一个是正确的。

GHASH的输出是一个公共多项式(基于密文和AAD)，以一个秘密值H计算。结果表明，给定这样一个多项式，可以有效地恢复H，方法是将多项式重写为\mathrm{GHASH}(H) + \mathrm{Tag} = 0，并恢复该多项式的根(可以在有限字段中完成)，或者更容易地获得两个这样的密文，重写它们，并使用扩展的欧几里得值恢复它们的公共根。

给定H，攻击者可以对加密消息进行任意修改；是的，这很糟糕。