主要观点：AES-GCM 很棒，但前提是每个随机数（nonce）必须真正唯一，一旦 nonce 被重用，AES-GCM 就会完全失效。文中详细介绍了 AES 和 GCM 的工作原理，包括加密、认证过程以及 nonce 在其中的作用，还阐述了 nonce 重用导致的安全问题及攻击方法（多项式分解法）。

关键信息：

• AES 是最广泛使用的对称加密算法，是 128 位块密码，有 128、192、256 三种密钥大小，是双射函数，可简单视为用密钥加密和解密 128 位数据的黑盒。
• GCM 是带关联数据的认证加密模式，包括加密和认证两部分。加密通过与密钥结合生成随机密钥流，用密钥流异或明文来加密，nonce 用于确保每次加密的密钥流不同，nonce 重用会导致安全问题；认证通过伽罗瓦域算术确保密文未被篡改，GHASH 函数用于计算认证标签。
• nonce 重用会使攻击者通过已知的明文 - 密文对恢复密钥流，进而解密其他密文或伪造密文，可通过 Cantor-Zassenhaus 算法对多项式方程进行因式分解来恢复 GHASH 密钥 H，从而实现对 AES-GCM 的攻击。

重要细节：

• 在 GCM 中，Y0由 nonce 计算得出，通过递增并使用 AES 加密得到密钥流，密钥流生成过程是 Galois/Counter Mode 的“计数器模式”部分。
• Galois 域算术中，GF(2)是最简单的伽罗瓦域，加法为异或运算，乘法为与运算；GF(2^128)中元素用 128 位表示，加法为异或，乘法需通过除以特定的“约化多项式”取余来处理。
• GHASH 函数通过加密 16 字节空块得到 GHASH 密钥 H，将待认证数据分成 128 位块并添加长度信息，通过一系列操作计算得到最终认证标签，可表示为公式。
• Cantor-Zassenhaus 算法用于对多项式方程进行因式分解以恢复 H 值，需满足多项式无重复根且为等度多项式乘积等条件，可通过随机多项式和一些计算来实现。

总之，AES-GCM 安全性依赖 nonce 的唯一性，nonce 重用会导致严重的安全漏洞，需避免 nonce 重用以确保 AES-GCM 的安全性。文中还提供了使用 SageMath 进行相关计算的示例及相关代码链接。