https://blog.calif.io/p/how-to-format-a-ciphertext ASN.1 люди очень любят всё по структурам рассовать. Из-за этой небольшой сложности, можно сделать AES-GCM с длиной MAC-а в один байт. Конечно же, эта уязвимость есть в OpenSSL, а также wolfSSL, Bouncy Castle, gpgsm.