Nur kurz zu "kein FB für AES bei GCM":

Bei GCM wird AES nicht auf die Nachricht angewendet: Mittels AES wird solange ein (von Key, IV und einem Zähler abhängiger) "zufälliger" Bitstrom erzeugt bis die Länge des Bitstroms die Länge der zu verschlüsselnden Nachricht erreicht oder überschritten hat. Bei diesem Prozess ist das Argument (für die Funktion AES) durch IV und Zähler immer bereits 16 Bytes lang definiert und muss damit nicht "aufgefüllt" werden.

Beispiel: Länge der Nachricht : 24 Bytes
Nach zwei Mal AES ist der Bitstrom mit 32 Bytes lang genug.

Nachricht und Bitstrom werden nun miteinander "verxort". => Die Nachricht ist verschlüsselt.

In unserem Beispiel: Die letzten 8 Bytes des Bitstroms werden nicht benötigt.

[ Danach wird die Nachricht via Operationen im Galois Körper GF(2^128) signiert. Beim Signieren wird genau einmal AES aufgerufen - auch hier ist das 16 Byte Argument definiert und muss nicht aufgefüllt werden. ]