Có bất kỳ nhược điểm bảo mật nào hoặc những thứ khác mà tôi quên xem xét không?
Có, GCM có vấn đề về bảo mật với cách SRTP muốn sử dụng nó.
SRTP được thiết kế để có chi phí băng thông (nghĩa là kích thước gói) càng thấp càng tốt; SRTP đôi khi được sử dụng qua mạng không dây và ở đó, kích thước gói khá đắt. IIRC, băng thông duy nhất mà SRTP bổ sung là thẻ toàn vẹn (IV, nếu chế độ cần một thẻ không bao giờ lặp lại, có thể là một chức năng của vị trí trong luồng, vốn đã được bao gồm trong phần không được mã hóa của gói); chúng tôi muốn giảm thẻ càng ngắn càng tốt (cả hai đều để giảm chi phí và đối với SRTP, việc nhờ ai đó giới thiệu một gói không có thật không phải là điều tồi tệ - để sử dụng âm thanh, họ có thể sửa đổi 20 mili giây của kết nối thoại ở mức không quá cao ($<10^{-6}$) xác suất và điều đó được coi là có thể chấp nhận được đối với trường hợp sử dụng này).
Khi chúng tôi đến GCM, chúng tôi gặp sự cố với các thẻ ngắn. GCM có thuộc tính này: nếu chúng tôi có một tin nhắn GCM được mã hóa bằng IV, bản mã/thẻ $(IV, C, T)$ và ai đó tìm thấy một tin nhắn không có thật $(IV, C', T')$ được chấp nhận (lưu ý: cùng một IV đã được sử dụng, bản mã và thẻ được sửa đổi tùy ý), sau đó cho bất kỳ thư được mã hóa nào trong tương lai $(IV", C", T")$, sau đó là tin nhắn $(IV", C" \oplus C \oplus C', T" \oplus T \oplus T')$ cũng sẽ được chấp nhận. Nghĩa là, bằng cách tìm ra một lần giả mạo duy nhất, kẻ tấn công có thể tạo ra các lần giả mạo từ đây trở đi.
Và, nếu bạn có một thẻ ngắn, thì kẻ tấn công có nhiều khả năng tìm thấy một tin nhắn không có thật được chấp nhận $(IV, C', T')$ bằng cách đơn giản đoán khác nhau $T'$ các giá trị.
Một lần giả mạo được coi là có thể chấp nhận được; ít cho phép kẻ tấn công tạo ra một luồng giả mạo liên tục. Với GCM, chúng tôi có thể tránh vấn đề này bằng cách sử dụng thẻ dài (trong đó xác suất đoán ngẫu nhiên thẻ đủ thấp), tuy nhiên, các trường hợp sử dụng cho SRTP không thích thẻ dài.
HMAC không có thuộc tính này; nếu kẻ tấn công tìm thấy một sự giả mạo $(C', T')$ (HMAC không có IV), điều đó không giúp anh ta tạo ra bất kỳ sự giả mạo nào trong tương lai.