这篇文章深入探讨了 AES-GCM 加密模式,特别是当随机数被重用时,其安全性是如何完全被攻破的。文章首先概述了 AES 和 GCM,包括加密、密钥流生成和 Galois/Counter 模式下的认证机制。接着,文章重点阐述了随机数重用带来的安全风险,并详细解释了如何利用多项式方程求解和 Cantor-Zassenhaus 算法来恢复 GHASH 密钥,从而伪造认证标签,最终攻破 AES-GCM 的安全性。