Advanced Encryption Standard (AES)

Entscheidung für AES

Da der Auswahlprozess für diesen neuen Verschlüsselungsalgorithmus offen war für öffentliche Kommentare und Anregungen, blieb eine umfassende, transparente Analyse der Entwürfe gewährleistet. Die weltweite Community der Kryptografen, darunter auch die National Security Agency (NSA), hatte daher die Wahl zwischen insgesamt 15 konkurrierenden Entwürfen. Im August 1999 wählte die NIST folgende fünf Algorithmen für einen Wettbewerb und die weitergehende Analyse aus:

• MARS (eingereicht von einem Team von IBM Research);
• RC6 (eingereicht von RSA Security);
• Rijndael (eingereicht von den belgischen Kryptographen Joan Daemen und Vincent Rijmen);
• Serpent (eingereicht von Ross Andersen, Eli Biham und Lars Knudsen);
• Twofish (eingereicht von einem Team von Forschern, darunter auch der angesehene  Kryptograf Bruce Schneier).

In der Folgezeit testeten die Experten der weltweiten Kryptografie-Community Implementierungen aller oben genannten Algorithmen ausgiebig in den Sprachen ANSI, C und Java nach folgenden Kriterien: Geschwindigkeit und Zuverlässigkeit bei der Verschlüsselung und Entschlüsselung, Dauer für das Setup von Schlüssel und Algorithmus sowie Widerstandskraft gegenüber verschiedenen Angriffen auf hardware- und softwarebasierte Systeme. Dabei versuchten einige Teams sogar, ihren eigenen Algorithmus zu knacken.

Nach umfangreichem Feedback, engagierten Diskussionen und Analysen setzte sich die Rijndael-Chiffre als Algorithmus für AES durch. Das NIST veröffentlichte Rijndael, der Name stellt eine Mischung der Nachnamen der belgischen Schöpfer Daemen und Rijmen dar, im Oktober 2000 als US FIPS PUB 197. Der Advanced Encryption Standard ist seit 2002 Standard der US-Regierung; er ist auch Teil des ISO / IEC 18033-3 Standards, der Blockchiffren zum Schutz der Vertraulichkeit von Daten definiert.

Im Juni 2003 kündigte die US-Regierung an, dass AES auch zum Schutz von geheimen Informationen verwendet werden kann; wenig später wurde AES zum Standard-Verschlüsselungsalgorithmus für den Schutz von geheimen Akten sowie zum ersten öffentlich zugänglichen und offenen Algorithmus, den die NSA für Top-Secret-Informationen genehmigte. AES ist einer der kryptografischen Algorithmen, den die NSA aktuell für den Schutz der nationalen Sicherheitssysteme nutzt.

Der erfolgreiche Einsatz durch die US-Regierung führte zu großer Verbreitung in der Privatwirtschaft, so dass AES mittlerweile als wichtigster Algorithmus bei der Kryptografie mit symmetrischen Schlüsseln gilt. Da der Auswahlprozess sehr transparent ablief, genießt AES bei Sicherheits- und Kryptografie-Experten ein  hohes Maß an Vertrauen.

AES ist sicherer als seine Vorgänger DES und 3DES, da der Algorithmus stärker ist und längere Schlüssel verwendet. Da die Verschlüsselung schneller abläuft als bei DES und 3DES, eignet sich AES ideal für Anwendungen, Firmware und Hardware, die niedrige Latenz und hohen Durchsatz erfordern, wie zum Beispiel Firewalls und Router. AES ist Teil vieler Protokolle wie SSL/TLS und findet sich in den meisten modernen Anwendungen und Geräten, die Verschlüsselungsfunktionen benötigen.

So funktioniert AES-Verschlüsselung

AES gibt es in drei Varianten: AES-128, AES-192 und AES-256. Jeder Algorithmus  verschlüsselt und entschlüsselt Daten in Blöcken von 128 Bits mit kryptographischen Schlüsseln in einer Länge von 128, 192 und 256 Bits. (Rijndael war auch dafür konzipiert, zusätzliche Blockgrößen und Schlüssellängen zu verarbeiten; diese Funktionalität wurde aber nicht in AES übernommen). Verfahren mit symmetrischen oder geheimen Schlüsseln verwenden den gleichen Schlüssel zur Ver- und Entschlüsselung von Daten. Daher müssen sowohl der Absender als auch der Empfänger denselben geheimen Schlüssel kennen und einsetzen.

Alle Schlüssellängen mit 192 oder 256 Bit gelten als ausreichend, um kritische Informationen zu schützen, die den Status „Geheim“ oder „Streng geheim“ tragen. Die Verschlüsselung erfolgt in zehn Runden für die 128 Bit-Schlüssel, 12 Runden für die 192 Bit-Schlüssel und 14 Runden für die 256-Bit-Schlüssel: Eine Runde besteht aus mehreren Verarbeitungsschritten wie Substitution, Umstellen und Mischen des Quell-Klartextes bis hin zur endgültigen Ausgabe des chiffrierten Textes.

AES hat sich bislang als zuverlässige Verschlüsselungsmethode erwiesen. Die einzigen erfolgreichen Angriffe nutzten Schwächen in Seitenkanälen bei der Implementierung oder Schlüsselverwaltung bestimmter Kryptografie-Produkte, die auf AES basieren. Seitenkanalangriffe nutzen keine Brute Force-Angriffe oder Schwächen im Chiffrat, sondern Lücken in der Implementierung eines Kryptosystems in einem Gerät (zum Beispiel einer Chipkarte, eines Security-Tokens oder eines Hardware-Sicherheitsmoduls).

Das Prinzip: Das entsprechende Gerät wird bei der Ausführung der Algorithmen beobachtet, um Korrelationen zwischen den beobachteten Daten und dem verwendeten Schlüssel zu finden. Diese charakteristische Information lässt sich etwa durch die Analyse der Laufzeit des Algorithmus oder des Energieverbrauchs des Prozessors während der Berechnungen gewinnen.

Ein Beispiel ist das BEAST-Exploit (Browser Exploit Against SSL/TLS) gegen das TLS v1.0 Protokoll. TLS kann AES verwenden, um Daten zu verschlüsseln. Aber aufgrund der Informationen, die TLS preisgibt, gelang es Angreifern, den ersten Blockvektor vorherzusagen, der beim Start der Verschlüsselung verwendet wurde.

In den letzten Jahren haben verschiedene Forscher Angriffe auf AES-Versionen veröffentlicht, die weniger Verschlüsselungs-Runden aufweisen. Im Jahr 2011 stellten Kryptologen den ersten Angriff auf den vollen AES-Algorithmus vor. Sie zeigten, dass mit einem so genannten Biclique-Angriff ein AES-Schlüssel mit  verschiedenen Schlüssellängen im Schnitt etwa um den Faktor 3 bis 5 schneller zu knacken ist als ein vollständiges Durchsuchen des Schlüsselraumes (Brute Force-Angriff). Doch auch dieser Angriff stellt wegen seiner hohen Komplexität und benötigten Rechenleistung in der Praxis für AES keine wirkliche Bedrohung dar.