如果 AES 无法用 GCM 模式，用明文 hash 作为 IV 以实现完整性校验是一个好的实现吗？

cnbatch

不如直接列出能用哪些模式

leonshaw

不是

geelaw

……这样得到的加密算法是确定性算法，所以不具有选择明文安全性，几乎不会使用。即使作为 DEM ，如果 hash 函数的 index 是公开的，在计数器模式下显然容易篡改，也几乎不可能使用。

tool2dx

就算 Aes 的 iv 无效，只要 key 正确，都能解出后续加密信息。

alphaControler

需要保证 IV 的安全性，不可被人获取才行的

memorycancel

如果应用需要保护数据和消息，那么应该优先选择采用 SM4-GCM 模式. https://github.com/memorycancel/gmssl?tab=readme-ov-file#sm4_gcm-%E8%AE%A4%E8%AF%81%E5%8A%A0%E5%AF%86%E6%A8%A1%E5%BC%8F SM4 的 GCM 模式是一种认证加密模式，和 CBC 、CTR 等加密模式的主要区别在于，GCM 模式的加密过程默认在密文最后添加完整性标签，也就是 MAC 标签，因此应用在采用 SM4-GCM 模式时，没有必要再计算并添加 SM3-HMAC 了。在有的应用场景中，比如对消息报文进行加密，对于消息头部的一段数据（报头字段）只需要做完整性保护，不需要加密，SM4-GCM 支持这种场景。在 Sm4Gcm 类的 init 方法中，除了 key 、iv 参数，还可以提供 aad 字节数字用于提供不需要加密的消息头部数据。 ```ruby key = "B789047EE36BD1DB9BCCD5B84D0E8C8D" # 16 bytes key iv = "F0F83C02897BE824AAB58361" # 12 bytes IV aad = "The_AAD_Data" input = "hello_sm4_gcm" encrypted_output, tag = SM4.gcm_encrypt(key, iv, aad, input) SM4.gcm_decrypt(key, iv, aad, encrypted_output, tag) #=> hello_sm4_gcm ```

drymonfidelia

@alphaControler iv 不是只用来防止已知明文攻击，可以公开 @cnbatch Unity 自带的 AES 不知道为什么用不了 GCM ，调用的时候会报错，CBC 那些模式好像都支持

kenvix

不行。IV 应该绝对随机，不应该从任何方式推导得到。可行的做法是自行做一个 HMAC 附加上去

kenvix

具体来说，发送端创建一个 ByteArray ，组成成分是密文的 HMAC + 随机 IV + AES-CTR 密文。接收端通过数组切片对密文做完整性验证，验证通过后用 IV+key 解密