Advanced Encryption Standard: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
K Textersetzung - „Kryptografies“ durch „Kryptografie“
 
(48 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Advanced Encryption Standard''' (AES) ist eins symmetrisches Kryptografieverfahren
 
== Beschreibung ==
== Beschreibung ==
== Installation ==
* [[Blockverschlüsselung|Blockchiffre]]
== Anwendungen ==
* Nachfolger von [[Data Encryption Standard|DES]]
=== Fehlerbehebung ===
* Oktober 2000
== Syntax ==
* [[National Institute of Standards and Technology]] (NIST)
=== Optionen ===
* US-amerikanischer Standard
=== Parameter ===
* [[Algorithmus]] wurde von [[Joan Daemen]] und [[Vincent Rijmen]] unter der Bezeichnung '''Rijndael''' entwickelt
=== Umgebungsvariablen ===
* [[Schlüssel (Kryptologie)|Schlüssel]] zum [[Kryptografie|Ver-]] und [[Entschlüsselung|Entschlüsseln]] sind identisch
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


= Wikipedia =
name = AES
Infobox Blockchiffre
entwickler = [[Joan Daemen]], [[Vincent Rijmen]]
| bild          = AES-SubBytes.svg
datum = 1998, Zertifizierung Oktober 2000
| bildname      = Der Substitutionsschritt, einer von 4 Teilschritten pro Runde
Schlüssellänge = 128, 192 oder 256&nbsp;Bit
| name           = AES
Blockgröße = 128 Bit Im Rijndael-Algorithmus werden Blockgrößen von 128, 160, 192, 224, und 256 Bits unterstützt, im AES-Standard wird aber nur eine 128-bit Blockgröße spezifiziert.
| entwickler     = [[Joan Daemen]], [[Vincent Rijmen]]
struktur = [[Substitutions-Permutations-Netzwerk]]
| datum         = 1998, Zertifizierung Oktober 2000
runden = 10, 12 oder 14 (schlüssellängenabhängig)
| abgeleitet    = [[Square (Verschlüsselung)|Square]]
kryptoanalyse = Der geheime Schlüssel kann bei AES-128 in <math>2^{126,1}</math> Schritten, bei AES-192 in <math>2^{189,7}</math> Schritten und bei AES-256 in <math>2^{254,4}</math> Schritten gefunden werden.
| zertifizierung = [[NESSIE]]
| schlüssellänge = 128, 192 oder 256&nbsp;Bit
| blockgröße    = 128 Bit<ref name="blocksize">Im Rijndael-Algorithmus werden Blockgrößen von 128, 160, 192, 224, und 256 Bits unterstützt, im AES-Standard wird aber nur eine 128-bit Blockgröße spezifiziert.</ref>
| struktur       = [[Substitutions-Permutations-Netzwerk]]
| runden         = 10, 12 oder 14 (schlüssellängenabhängig)
| kryptoanalyse = Der geheime Schlüssel kann bei AES-128 in <math>2^{126,1}</math> Schritten, bei AES-192 in <math>2^{189,7}</math> Schritten und bei AES-256 in <math>2^{254,4}</math> Schritten gefunden werden.<ref name="biclique" />


Der '''Advanced Encryption Standard''' ('''AES''') ({{deS|etwa „fortschrittlicher Verschlüsselungsstandard“}}) ist eine [[Blockverschlüsselung|Blockchiffre]], die als Nachfolger des [[Data Encryption Standard|DES]] im Oktober 2000 vom [[National Institute of Standards and Technology]] (NIST) als US-amerikanischer Standard bekanntgegeben wurde. Der [[Algorithmus]] wurde von [[Joan Daemen]] und [[Vincent Rijmen]] unter der Bezeichnung '''Rijndael''' entwickelt.
Der '''Advanced Encryption Standard''' ('''AES''') ({{deS|etwa „fortschrittlicher Kryptografiestandard“}}) ist eine [[Blockverschlüsselung|Blockchiffre]], die als Nachfolger des [[Data Encryption Standard|DES]] im Oktober 2000 vom [[National Institute of Standards and Technology]] (NIST) als US-amerikanischer Standard bekanntgegeben wurde.
; Rijndael
* Der [[Algorithmus]] wurde von [[Joan Daemen]] und [[Vincent Rijmen]] unter der Bezeichnung '''Rijndael''' entwickelt.


Es handelt sich um ein [[Symmetrisches Kryptosystem|symmetrisches Verschlüsselungsverfahren]], d.&nbsp;h. der [[Schlüssel (Kryptologie)|Schlüssel]] zum [[Verschlüsselung|Ver-]] und [[Entschlüsselung|Entschlüsseln]] ist identisch. Der Rijndael-Algorithmus besitzt variable, voneinander unabhängige Block- und [[Schlüssellänge]]n von 128, 160, 192, 224 oder 256 Bit. Rijndael bietet ein sehr hohes Maß an Sicherheit; erst mehr als zehn Jahre nach seiner Standardisierung wurde der erste theoretisch interessante, praktisch aber nicht relevante Angriff gefunden.
Es handelt sich um ein [[Symmetrisches Kryptosystem|symmetrisches Kryptografieverfahren]], d.&nbsp;h. der [[Schlüssel (Kryptologie)|Schlüssel]] zum [[Kryptografie|Ver-]] und [[Entschlüsselung|Entschlüsseln]] ist identisch.
* Der Rijndael-Algorithmus besitzt variable, voneinander unabhängige Block- und [[Schlüssellänge]]n von 128, 160, 192, 224 oder 256 Bit.


AES schränkt die Blocklänge auf 128 Bit und die Wahl der Schlüssellänge auf 128, 192 oder 256 Bit ein. Die Bezeichnungen der drei AES-Varianten AES-128, AES-192 und AES-256 beziehen sich jeweils auf die gewählte Schlüssellänge. AES ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Soft- und Hardware implementiert werden.
; Rijndael bietet ein sehr hohes Maß an Sicherheit
* erst mehr als zehn Jahre nach seiner Standardisierung wurde der erste theoretisch interessante, praktisch aber nicht relevante Angriff gefunden.


Das Verfahren ist pragmatisch sicher, das heißt, es ist kein praktisch durchführbarer [[Kryptoanalyse|Angriff]] bekannt. Es ist jedoch theoretisch [[Brechen (Kryptologie)|gebrochen]]: die [[Entzifferung]] ist unter Umständen mit geringerem (aber noch immer unrealistisch hohem) Aufwand möglich als das systematische Durchprobieren aller möglicher Schlüssel. AES-192 und AES-256 sind in den [[Vereinigte Staaten|USA]] für staatliche Dokumente mit höchstem [[Geheimhaltungsgrad]] zugelassen.<ref>{{Literatur |Autor=Committee on National Security Systems |Titel=CNSS Policy No. 15, Fact Sheet No. 1 |Datum=2003 |Seiten=2 |Online=http://csrc.nist.gov/groups/ST/toolkit/documents/aes/CNSS15FS.pdf}}</ref>
; AES schränkt die Blocklänge auf 128 Bit und die Wahl der Schlüssellänge auf 128, 192 oder 256 Bit ein.
* Die Bezeichnungen der drei AES-Varianten AES-128, AES-192 und AES-256 beziehen sich jeweils auf die gewählte Schlüssellänge.
* AES ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Soft- und Hardware implementiert werden.


== Entstehung ==
; Das Verfahren ist pragmatisch sicher, das heißt, es ist kein praktisch durchführbarer [[Kryptoanalyse|Angriff]] bekannt.
Bis zum Einsatz von AES war der [[Data Encryption Standard]] (DES) der am häufigsten genutzte symmetrische Algorithmus zur [[Verschlüsselung]] von Daten. Spätestens seit den 1990er Jahren galt er mit seiner Schlüssellänge von 56&nbsp;Bit als nicht mehr ausreichend sicher gegen Angriffe mit der [[Brute-Force-Methode]]. Ein neuer, besserer Algorithmus musste gefunden werden.
* Es ist jedoch theoretisch [[Brechen (Kryptologie)|gebrochen]]: die [[Entzifferung]] ist unter Umständen mit geringerem (aber noch immer unrealistisch hohem) Aufwand möglich als das systematische Durchprobieren aller möglicher Schlüssel.
* AES-192 und AES-256 sind in den [[Vereinigte Staaten|USA]] für staatliche Dokumente mit höchstem [[Geheimhaltungsgrad]] zugelassen.


=== Auswahl eines DES-Nachfolgers ===
; Entstehung
Das amerikanische Handelsministerium schrieb die Suche nach einem Nachfolgealgorithmus am 2.&nbsp;Januar 1997 international aus, federführend für die Auswahl war das US-amerikanische [[National Institute of Standards and Technology]] in Gaithersburg, Maryland. Nach einer internationalen Konferenz am 15.&nbsp;April 1997 veröffentlichte es am 12.&nbsp;September 1997 die endgültige Ausschreibung. Die Art der Suche sowie die Auswahlkriterien unterschieden sich damit beträchtlich von der hinter verschlossenen Türen erfolgten DES-Entwicklung. Der Sieger der Ausschreibung, der als Advanced Encryption Standard (AES) festgelegt werden sollte, musste folgende Kriterien erfüllen:
Bis zum Einsatz von AES war der [[Data Encryption Standard]] (DES) der am häufigsten genutzte symmetrische Algorithmus zur [[Kryptografie]] von Daten.
* Spätestens seit den 1990er Jahren galt er mit seiner Schlüssellänge von 56&nbsp;Bit als nicht mehr ausreichend sicher gegen Angriffe mit der [[Brute-Force]].
* Ein neuer, besserer Algorithmus musste gefunden werden.
 
=== Suche nach einem DES-Nachfolger ===
Das amerikanische Handelsministerium schrieb die Suche nach einem Nachfolgealgorithmus am 2.&nbsp;Januar 1997 international aus, federführend für die Auswahl war das US-amerikanische [[National Institute of Standards and Technology]] in Gaithersburg, Maryland.
* Nach einer internationalen Konferenz am 15.&nbsp;April 1997 veröffentlichte es am 12.&nbsp;September 1997 die endgültige Ausschreibung.
* Die Art der Suche sowie die Auswahlkriterien unterschieden sich damit beträchtlich von der hinter verschlossenen Türen erfolgten DES-Entwicklung.
* Der Sieger der Ausschreibung, der als Advanced Encryption Standard (AES) festgelegt werden sollte, musste folgende Kriterien erfüllen:


* AES muss ein [[Symmetrisches Kryptosystem|symmetrischer Algorithmus]] sein, und zwar eine [[Blockchiffre]].
* AES muss ein [[Symmetrisches Kryptosystem|symmetrischer Algorithmus]] sein, und zwar eine [[Blockchiffre]].
Zeile 82: Zeile 57:
* Der Algorithmus muss frei von [[patent]]rechtlichen Ansprüchen sein und muss von jedermann unentgeltlich genutzt werden können.
* Der Algorithmus muss frei von [[patent]]rechtlichen Ansprüchen sein und muss von jedermann unentgeltlich genutzt werden können.


Die Auswahlkriterien wurden in drei Hauptkategorien unterteilt: Sicherheit, Kosten sowie Algorithmus- und Implementierungscharakteristiken. Die Sicherheit war der wichtigste Faktor in der Evaluierung und umfasste die Eigenschaften Widerstandsfähigkeit des Algorithmus gegen Kryptoanalyse, Zufälligkeit des Chiffrats, Stichhaltigkeit der mathematischen Basis sowie die relative Sicherheit im Vergleich zu den anderen Kandidaten.
Die Auswahlkriterien wurden in drei Hauptkategorien unterteilt: Sicherheit, Kosten sowie Algorithmus- und Implementierungscharakteristiken.
 
* Die Sicherheit war der wichtigste Faktor in der Evaluierung und umfasste die Eigenschaften Widerstandsfähigkeit des Algorithmus gegen Kryptoanalyse, Zufälligkeit des Chiffrats, Stichhaltigkeit der mathematischen Basis sowie die relative Sicherheit im Vergleich zu den anderen Kandidaten.
Kosten, der nächste wichtige Faktor, ist im Sinne des Auswahlverfahrens als Überbegriff zu verstehen: Dieser umfasste Lizenzierungsansprüche sowie rechnerische Effizienz auf verschiedenen Plattformen und Speicherverbrauch.
Da eines der wichtigsten Ziele, die das NIST ausgearbeitet hatte, die weltweite Verbreitung auf lizenzfreier Basis war und dass AES von jedermann unentgeltlich genutzt werden kann, wurden öffentliche Kommentare und Anregungen zu Lizenzansprüchen und diesbezügliche potenzielle Konflikte spezifisch gesucht.


Die Anforderung der Geschwindigkeit des Algorithmus auf diversen Plattformen wurde in drei zusätzliche Ziele unterteilt:
; Kosten, der nächste wichtige Faktor, ist im Sinne des Auswahlverfahrens als Überbegriff zu verstehen
* Dieser umfasste Lizenzierungsansprüche sowie rechnerische Effizienz auf verschiedenen Plattformen und Speicherverbrauch.
* Da eines der wichtigsten Ziele, die das NIST ausgearbeitet hatte, die weltweite Verbreitung auf lizenzfreier Basis war und dass AES von jedermann unentgeltlich genutzt werden kann, wurden öffentliche Kommentare und Anregungen zu Lizenzansprüchen und diesbezügliche potenzielle Konflikte spezifisch gesucht.


; Anforderung der Geschwindigkeit des Algorithmus auf diversen Plattformen wurde in drei zusätzliche Ziele unterteilt:
* Die rechnerische Geschwindigkeit mit 128-Bit-Schlüsseln.
* Die rechnerische Geschwindigkeit mit 128-Bit-Schlüsseln.
* Die rechnerische Geschwindigkeit mit 192-Bit- und 256-Bit-Schlüsseln sowie die rechnerische Geschwindigkeit verschiedener Hardware-Implementierungen. Der Speicherverbrauch und die Grenzen von Software-Implementierungen der Kandidaten waren weitere wichtige Aspekte.
* Die rechnerische Geschwindigkeit mit 192-Bit- und 256-Bit-Schlüsseln sowie die rechnerische Geschwindigkeit verschiedener Hardware-Implementierungen.
* Der Speicherverbrauch und die Grenzen von Software-Implementierungen der Kandidaten waren weitere wichtige Aspekte.
* Das dritte Ziel, die Algorithmus- und Implementierungscharakteristiken, beinhalteten die Flexibilität, die Eignung für Soft- und Hardware-Implementierungen und die Einfachheit des Algorithmus.
* Das dritte Ziel, die Algorithmus- und Implementierungscharakteristiken, beinhalteten die Flexibilität, die Eignung für Soft- und Hardware-Implementierungen und die Einfachheit des Algorithmus.


; Flexibilität
Unter Flexibilität verstand man die Eigenschaften, dass AES die Schlüssel- und Blockgröße über dem Minimum unterstützen musste und dass er in verschiedenen Typen von Umgebungen sowie zusätzlich als [[Stromchiffre]] und [[kryptologische Hashfunktion]] sicher und effizient zu implementieren war.
Unter Flexibilität verstand man die Eigenschaften, dass AES die Schlüssel- und Blockgröße über dem Minimum unterstützen musste und dass er in verschiedenen Typen von Umgebungen sowie zusätzlich als [[Stromchiffre]] und [[kryptologische Hashfunktion]] sicher und effizient zu implementieren war.


Die Ausschreibung führte bis zum Abgabeschluss am 15. Juni 1998 zu fünfzehn Vorschlägen aus aller Welt. Diese wurden in der AES-Konferenz vom 20. bis 22. August 1998 in [[Ventura (Kalifornien)]] vorgestellt, öffentlich diskutiert und auf die Erfüllung der genannten Kriterien geprüft. Die AES-Konferenz vom 22. und 23. April 1999 in Rom führte zu einer ersten Diskussion der Ergebnisse und Empfehlungen, welche der fünfzehn Algorithmen weiter betrachtet werden sollten. Die fünf besten Kandidaten ([[MARS (Verschlüsselung)|MARS]], [[RC6]], Rijndael, [[Serpent (Verschlüsselung)|Serpent]], [[Twofish]]) kamen in die nächste Runde.
; Die Ausschreibung führte bis zum Abgabeschluss am 15. Juni 1998 zu fünfzehn Vorschlägen aus aller Welt.
 
* Diese wurden in der AES-Konferenz vom 20. bis 22. August 1998 in [[Ventura (Kalifornien)]] vorgestellt, öffentlich diskutiert und auf die Erfüllung der genannten Kriterien geprüft.
Alle fünf Kandidaten erfüllen die oben genannten Forderungen, daher wurden weitere Kriterien hinzugezogen. Es folgte eine Überprüfung der Algorithmen auf theoretische Schwachstellen, durch die der Algorithmus möglicherweise zu einem späteren Zeitpunkt durch technischen Fortschritt unsicher werden kann. So konnten zum damaligen Stand technisch nicht realisierbare Vorgehensweisen in einigen Jahren anwendbar sein, ein solches Risiko sollte minimiert werden. Die Staffelung der Kandidaten nach [[Ressource]]nverbrauch und [[Rechenleistung|Leistung]] war eindeutiger. Der Rijndael-Algorithmus hatte sich in [[Hardware]]- und [[Software]]-[[Implementierung]] als überdurchschnittlich schnell herausgestellt. Die anderen Kandidaten haben jeweils in unterschiedlichen Bereichen kleinere Schwächen.
* Die AES-Konferenz vom 22. und 23. April 1999 in Rom führte zu einer ersten Diskussion der Ergebnisse und Empfehlungen, welche der fünfzehn Algorithmen weiter betrachtet werden sollten.
 
* Die fünf besten Kandidaten ([[MARS (Kryptografie)|MARS]], [[RC6]], Rijndael, [[Serpent (Kryptografie)|Serpent]], [[Twofish]]) kamen in die nächste Runde.
Im Mai des Jahres 2000 wurden die Analysen und öffentlichen Diskussionen abgeschlossen und am 2.&nbsp;Oktober 2000 der Sieger schließlich bekannt gegeben: der belgische Algorithmus Rijndael. Rijndael überzeugte durch seine Einfachheit (die Referenz-Implementierung umfasst weniger als 500 Zeilen [[C (Programmiersprache)|C-Code]]), Sicherheit und Geschwindigkeit, weshalb sich die USA trotz Sicherheitsbedenken für einen europäischen Algorithmus entschieden.
 
Der Auswahlprozess faszinierte weltweit viele Kryptographen insbesondere durch seine offene Gestaltung. Bis heute wird dieser Wettbewerb als vorbildlich angesehen.
 
== Arbeitsweise ==
Rijndael ist eine als [[Substitutions-Permutations-Netzwerk]] entworfene [[Blockverschlüsselung|Blockchiffre]]. Bei Rijndael können Blocklänge und Schlüssellänge unabhängig voneinander die Werte 128, 160, 192, 224 oder 256 Bits erhalten, während bei AES die Blockgröße auf 128 Bit festgelegt ist und die Schlüsselgröße 128, 192 oder 256 Bit betragen kann.
 
Rijndael ist eine [[Iteration|iterierte]] Blockchiffre, d.&nbsp;h. der Block wird in mehreren aufeinanderfolgenden Runden verschlüsselt, die bis auf die verwendeten Rundenschlüssel gleich sind. Für jede Runde wird ein anderer Rundenschlüssel aus dem Originalschlüssel berechnet (Schlüsselexpansion). Die Anzahl <math>R</math> der Runden variiert und ist vom Maximum der Blockgröße <math>b</math> und der Schlüssellänge <math>k</math> abhängig (beim AES also nur von der Schlüssellänge):
 
{| class="wikitable" style="text-align:center;"
|+ Anzahl der Runden bei Rijndael
! class="hintergrundfarbe6"| max(b, k)
! 128
! 160
! 192
! 224
! 256
|-
! class="hintergrundfarbe6"| Rundenzahl R
| 10
| 11
| 12
| 13
| 14
|}
 
Der Datenblock, der ver- oder entschlüsselt werden soll, wird zunächst in eine zweidimensionale [[Tabelle]] geschrieben, deren Zellen ein [[Byte]] groß sind und die vier Zeilen und je nach Blockgröße 4 bis 8 Spalten hat.
 
=== Ablauf ===
* Schlüsselexpansion
* AddRoundKey(Rundenschlüssel[0])
* ''Verschlüsselungsrunden r = 1 bis R-1:''
** SubBytes()
** ShiftRows()
** MixColumns()
** AddRoundKey(Rundenschlüssel[r])
* ''Schlussrunde:''
** SubBytes()
** ShiftRows()
** AddRoundKey(Rundenschlüssel[R])
 
=== S-Box ===
Rijndael verwendet eine [[S-Box]], um bei der Operation ''SubBytes()'' jedes Byte des Datenblocks durch ein anderes zu ersetzen, und sie wird auch bei der Schlüsselexpansion eingesetzt. Eine S-Box (Substitutionsbox) dient zur [[Monoalphabetische Substitution|monoalphabetischen Verschlüsselung]]. Sie bewirkt vor allem die Verwischung der Beziehung zwischen Klar- und Geheimtext, was in der kryptologischen Fachsprache [[Konfusion (Kryptologie)|Konfusion]] genannt wird, kann aber auch zur Umsetzung des [[Claude Elwood Shannon|Shannon’schen]] Prinzips der [[Diffusion (Kryptologie)|Diffusion]] beitragen.
 
Die S-Box von Rijndael ist nach Kriterien konstruiert, die die Anfälligkeit für die Methoden der linearen und der differentiellen Kryptoanalyse sowie für algebraische Attacken minimieren sollen. Sie besteht aus 256 Bytes, die erzeugt werden, indem jedes Byte außer der Null, aufgefasst als Vertreter des [[Endlicher Körper|endlichen Körpers]] <math>\mathbb F_{2^8}</math>, durch sein multiplikatives Inverses ersetzt wird, worauf noch eine affine Transformation erfolgt.<ref>[https://www.samiam.org/rijndael.html Beschreibung des AES von Sam Trenholme (englisch)]</ref> Es ist
 
:<math>S(x) = \overline x \oplus (\overline x \lll 1) \oplus (\overline x \lll 2) \oplus (\overline x \lll 3) \oplus (\overline x \lll 4) \oplus (63)_\text{hex}</math>.
Dabei steht <math>\overline x</math> für das multiplikative Inverse von <math>x</math> in <math>\mathbb F_{2^8}</math>, oder für 0, falls <math>x=0</math>. <math>b \lll n</math> bezeichnet die [[Bitweiser Operator#Zyklische Verschiebung|Linksrotation]] des Bytes <math>b</math> um <math>n</math> Bitpositionen und <math>\oplus</math> das [[Bitweiser Operator#XOR|bitweise XOR]].
 
Die Werte der S-Box und der zum Entschlüsseln benötigten inversen S-Box können entweder für jedes substituierte Byte erneut (dynamisch) berechnet werden, um Speicher zu sparen, oder vorberechnet und in einem [[Feld (Datentyp)|Array]] gespeichert werden.


=== Schlüsselexpansion ===
; Alle fünf Kandidaten erfüllen die oben genannten Forderungen, daher wurden weitere Kriterien hinzugezogen.
[[Datei:Schluesselexpansion-AES.svg|mini|Prinzip der Schlüsselexpansion bei AES]]
* Es folgte eine Überprüfung der Algorithmen auf theoretische Schwachstellen, durch die der Algorithmus möglicherweise zu einem späteren Zeitpunkt durch technischen Fortschritt unsicher werden kann.
* So konnten zum damaligen Stand technisch nicht realisierbare Vorgehensweisen in einigen Jahren anwendbar sein, ein solches Risiko sollte minimiert werden.
* Die Staffelung der Kandidaten nach [[Ressource]]nverbrauch und [[Rechenleistung|Leistung]] war eindeutiger.
* Der Rijndael-Algorithmus hatte sich in [[Hardware]]- und [[Software]]-[[Implementierung]] als überdurchschnittlich schnell herausgestellt.
* Die anderen Kandidaten haben jeweils in unterschiedlichen Bereichen kleinere Schwächen.


Zunächst müssen aus dem Schlüssel <math>R+1</math> Teilschlüssel (auch Rundenschlüssel genannt) erzeugt werden, die jeweils die gleiche Größe wie ein Datenblock haben. Somit muss der Benutzerschlüssel auf die Länge <math>b \cdot (R+1)</math> expandiert werden, wobei <math>b</math> die Blockgröße in Bit angibt. Der Schlüssel wird in eine zweidimensionale Tabelle mit vier Zeilen und Zellen der Größe 1 Byte abgebildet. Fasst man jede Spalte als 32-bit-Wort auf, ergibt das ein eindimensionales [[Feld (Datentyp)|Array]] mit <math>b/32\cdot(R+1)</math> Elementen.
Im Mai des Jahres 2000 wurden die Analysen und öffentlichen Diskussionen abgeschlossen und am 2.&nbsp;Oktober 2000 der Sieger schließlich bekannt gegeben: der belgische Algorithmus Rijndael.
* Rijndael überzeugte durch seine Einfachheit (die Referenz-Implementierung umfasst weniger als 500 Zeilen [[C (Programmiersprache)|C-Code]]), Sicherheit und Geschwindigkeit, weshalb sich die USA trotz Sicherheitsbedenken für einen europäischen Algorithmus entschieden.


Sei <math>N = k/32</math> die Länge des Benutzerschlüssels in Wörtern. Dieser wird zunächst in die ersten Wörter <math>W_0,\cdots,W_{N-1}</math> des Arrays eingetragen. Dann werden in einer [[Iteration]] die weiteren Wörter <math>W_i</math> jeweils durch [[Bitweiser Operator#XOR|bitweises XOR]] von <math>W_{i-1}</math> und <math>W_{i-N}</math> berechnet. Für jedes <math>N</math>-te Wort wird <math>W_{i-1}</math> zuvor rotiert, byteweise substituiert und mit einer von <math>i</math> abhängigen Konstanten verknüpft. Falls <math>N>6</math> ist, wird dazwischen alle <math>N</math> Wörter noch eine weitere Substitution ausgeführt.
; Dieser Wettbewerb wird als vorbildlich angesehen
 
* Der Auswahlprozess faszinierte weltweit viele Kryptographen durch seine offene Gestaltung.
Für <math>i = N, \ldots, b/32\cdot(R+1)-1</math>:
:<math>W_i =
\begin{cases}
  W_{i-N} \oplus \operatorname{S}(W_{i-1} \lll 8) \oplus C_{i/N-1} & \text {wenn } i \equiv 0 \pmod{N} \\
  W_{i-N} \oplus \operatorname{S}(W_{i-1}) & \text{wenn } N > 6 \text{ und } i \equiv 4 \pmod{N} \\
  W_{i-N} \oplus W_{i-1} & \text{sonst} \\
\end{cases}
</math>
 
<math>\operatorname{S}(x)</math> bezeichnet die Substitution jedes Bytes in <math>x</math> durch die gleiche S-Box, die auch beim Verschlüsseln eines Datenblocks eingesetzt wird. <math>x \lll 8</math> ist die [[Bitweiser Operator#Zyklische Verschiebung|Rotation]] von <math>x</math> um 8 Bitpositionen nach links. Die Konstanten <math>C_j</math> werden gebildet, indem <math>2^j</math>, berechnet im Körper <math>\mathbb F_{2^8}</math>, in das höchste Byte von <math>C_j</math> eingetragen wird, während die übrigen Bytes 0 sind.
 
=== AddRoundKey ===
[[Datei:AES-AddRoundKey.svg|mini|Bitweise XOR-Verknüpfung zwischen dem Block und dem aktuellen Rundenschlüssel]]
 
Vor der ersten und nach jeder Verschlüsselungsrunde wird der Datenblock mit einem der Rundenschlüssel XOR-verknüpft. Dies ist die einzige Funktion in AES, in die der Benutzerschlüssel eingeht.
 
=== SubBytes ===
Im ersten Schritt jeder Runde wird jedes Byte <math>B</math> im Block durch den Eintrag <math>S(B)</math> der S-Box ersetzt. Somit werden die Daten byteweise [[Monoalphabetische Substitution|monoalphabetisch]] verschlüsselt.
 
=== ShiftRows ===
[[Datei:AES-ShiftRows.svg|mini|Zeilen werden um eine bestimmte Anzahl von Spalten nach links verschoben]]
 
Wie oben erwähnt, liegt ein Block in Form einer zweidimensionalen Tabelle mit vier Zeilen vor. In diesem zweiten Schritt jeder Runde werden die Zeilen um eine bestimmte Anzahl von Spalten nach links verschoben. Überlaufende Zellen werden von rechts fortgesetzt. Die Anzahl der Verschiebungen ist zeilen- und blocklängenabhängig:
 
{| class="wikitable" style="text-align:center;"
|- class="hintergrundfarbe6"
!''r''
!''b''=128
!''b''=160
!''b''=192
!''b''=224
!''b''=256
|-
! class="hintergrundfarbe6"| Zeile 1
|'''0'''
|0
|0
|0
|0
|-
! class="hintergrundfarbe6"| Zeile 2
|'''1'''
|1
|1
|1
|1
|-
! class="hintergrundfarbe6"| Zeile 3
|'''2'''
|2
|2
|2
|3
|-
! class="hintergrundfarbe6"| Zeile 4
|'''3'''
|3
|3
|4
|4
|}
Je nach Blocklänge ''b'' und Zeile in der Datentabelle wird die Zeile um 1 bis 4 Spalten verschoben.<br />Für den AES sind nur die fett markierten Werte relevant.
 
=== MixColumns ===
{{Hauptartikel|Rijndael MixColumns}}
 
[[Datei:AES-MixColumns.svg|mini|Die Spalten werden vermischt]]
 
Als dritte Operation jeder Runde außer der Schlussrunde werden die Daten innerhalb der Spalten vermischt. Zur Berechnung eines Bytes <math>b_j</math> der neuen Spalte wird jedes Byte <math>a_j</math> der alten mit einer Konstanten (1, 2 oder 3) multipliziert. Dies geschieht modulo des [[Irreduzibles Polynom|irreduziblen Polynoms]] <math>x^8 + x^4 + x^3 + x + 1</math> im [[Galois-Körper]] <math>GF(2^8)</math>. Dann werden die Ergebnisse [[Kontravalenz|XOR]]-verknüpft:
:<math>b_0 = (a_0 \cdot 2) \oplus (a_1 \cdot 3) \oplus (a_2 \cdot 1) \oplus (a_3 \cdot 1)</math>
:<math>b_1 = (a_0 \cdot 1) \oplus (a_1 \cdot 2) \oplus (a_2 \cdot 3) \oplus (a_3 \cdot 1)</math>
:<math>b_2 = (a_0 \cdot 1) \oplus (a_1 \cdot 1) \oplus (a_2 \cdot 2) \oplus (a_3 \cdot 3)</math>
:<math>b_3 = (a_0 \cdot 3) \oplus (a_1 \cdot 1) \oplus (a_2 \cdot 1) \oplus (a_3 \cdot 2)</math>
In Matrixschreibweise:
:<math>\begin{pmatrix}b_0 \\ b_1 \\ b_2\\b_3 \end{pmatrix} = \begin{pmatrix}2 & 3 & 1 & 1\\ 1 & 2 & 3 & 1\\ 1 & 1 & 2 & 3\\ 3 & 1 & 1 & 2 \end{pmatrix} \begin{pmatrix}a_0 \\ a_1 \\ a_2\\a_3 \end{pmatrix}</math>
 
Nach den Rechengesetzen in diesem Galois-Körper gilt für die Multiplikation:
* <math> a \cdot 1 = a</math>
* <math> a \cdot 2 = \begin{cases} 2a & \text{wenn }a < 2^7\\
2a \oplus (11\text{b})_\text{hex} & \text{wenn }a \ge 2^7\end{cases}</math>
* <math> a \cdot 3 = (a \cdot 2) \oplus a</math>
Dabei bezeichnet <math>2a</math> die normale Multiplikation von ''a'' mit 2 und <math>\oplus</math> die bitweise XOR-Verknüpfung.
 
=== Entschlüsselung ===
Bei der [[Entschlüsselung#Entschlüsselung in der Kryptologie|Entschlüsselung]] von Daten wird genau rückwärts vorgegangen. Die Daten werden zunächst wieder in zweidimensionale Tabellen gelesen und die Rundenschlüssel generiert. Allerdings wird nun mit der Schlussrunde angefangen und alle Funktionen in jeder Runde in der umgekehrten Reihenfolge aufgerufen. Durch die vielen [[Kontravalenz|XOR-Verknüpfungen]] unterscheiden sich die meisten Funktionen zum Entschlüsseln nicht von denen zum Verschlüsseln. Jedoch muss eine andere S-Box genutzt werden (die sich aus der originalen S-Box berechnen lässt) und die Zeilenverschiebungen erfolgen in die andere Richtung.


== Anwendung ==
== Anwendung ==
AES wird u.&nbsp;a. vom Verschlüsselungsstandard [[IEEE 802.11i]] für [[Wireless Local Area Network|Wireless LAN]] und seinem [[Wi-Fi]]-Äquivalent [[WPA2]], bei IEEE802.16&nbsp;m ([[WiMAX]]), für [[Powerline Communication|Powerline-Netzwerkverkehr]] ab der Version [[HomePlug AV]] sowie bei [[Secure Shell|SSH]] und bei [[IPsec]] genutzt. Auch in der [[IP-Telefonie]] kommt AES sowohl in offenen Protokollen wie [[Secure Real-Time Transport Protocol|SRTP]] als auch proprietären Systemen wie [[Skype]]<ref>Tom Berson: ''{{Webarchiv |url=http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf |wayback=20051025042834 |text=Skype Security Evaluation}}'' auf skype.com mit [http://www.anagram.com/berson/skyeval.sig Signatur], 18. Oktober 2005, englisch, [[Portable Document Format|PDF]]</ref> zum Einsatz. Mac OS X benutzt AES als Standardverschlüsselungsmethode für Disk-Images, außerdem verwendet der Dienst ''[[FileVault]]'' AES. Ebenso verwendet die transparente Verschlüsselung [[Encrypting File System|EFS]] in Windows XP ab SP 1 diese Methode. Zudem wird der Algorithmus zur Verschlüsselung diverser komprimierter Dateiarchive verwendet, z.&nbsp;B. bei [[7-Zip]] und [[RAR (Dateiformat)|RAR]]. In [[Pretty Good Privacy|PGP]] und [[GNU Privacy Guard|GnuPG]] findet AES ebenfalls einen großen Anwendungsbereich. Der [[Linear Tape Open]] Standard spezifiziert eine Schnittstelle für AES-Verschlüsselung durch das Bandlaufwerk ab LTO-4 und ermöglicht so Bandkompression bei gleichzeitiger Verschlüsselung.
AES wird u.&nbsp;a. vom Kryptografiestandard [[IEEE 802.11i]] für [[Wireless Local Area Network|Wireless LAN]] und seinem [[Wi-Fi]]-Äquivalent [[WPA2]], bei IEEE802.16&nbsp;m ([[WiMAX]]), für [[Powerline Communication|Powerline-Netzwerkverkehr]] ab der Version [[HomePlug AV]] sowie bei [[Secure Shell|SSH]] und bei [[IPsec]] genutzt.
* Auch in der [[IP-Telefonie]] kommt AES sowohl in offenen Protokollen wie [[Secure Real-Time Transport Protocol|SRTP]] als auch proprietären Systemen wie [[Skype]] zum Einsatz.
* Mac OS X benutzt AES als Standardverschlüsselungsmethode für Disk-Images, außerdem verwendet der Dienst ''[[FileVault]]'' AES.
* Ebenso verwendet die transparente Kryptografie [[Encrypting File System|EFS]] in Windows XP ab SP 1 diese Methode.
* Zudem wird der Algorithmus zur Kryptografie diverser komprimierter Dateiarchive verwendet, z.&nbsp;B.&nbsp;
* bei [[7-Zip]] und [[RAR (Dateiformat)|RAR]].
* In [[Pretty Good Privacy|PGP]] und [[GNU Privacy Guard|GnuPG]] findet AES ebenfalls einen großen Anwendungsbereich.
* Der [[Linear Tape Open]] Standard spezifiziert eine Schnittstelle für AES-Kryptografie durch das Bandlaufwerk ab LTO-4 und ermöglicht so Bandkompression bei gleichzeitiger Kryptografie.


AES gehört zu den vom Projekt [[NESSIE]] empfohlenen kryptografischen Algorithmen und ist Teil der [[NSA Suite B Cryptography|Suite B]] der NSA.
AES gehört zu den vom Projekt [[NESSIE]] empfohlenen kryptografischen Algorithmen und ist Teil der [[NSA Suite B Cryptography|Suite B]] der NSA.


Der AES-Algorithmus wird inzwischen in etlichen CPUs von Intel oder AMD durch zusätzliche [[AES (Befehlssatzerweiterung)|spezialisierte Maschinenbefehle]] unterstützt, wodurch das Verschlüsseln 5-mal und das Entschlüsseln 25-mal schneller als mit nicht spezialisierten Maschinenbefehlen erfolgt.<ref>Oliver Lau (2013): „Spezialkommando. Schnelle AES-Chiffres mit Intrinsics“ in: c’t 2013, Heft 14, Seiten 174–177. Zitierte Aussage siehe Seite 176 und 177.</ref> Damit ist AES auch für mobile Anwendungen Akku-schonend benutzbar und für den Masseneinsatz geeignet. Programmier-Softwarebibliotheken wie zum Beispiel [[OpenSSL]] erkennen und nutzen die Hardware-AES-Implementierung und greifen nur wenn nötig auf langsamere Softwareimplementierung zurück.
Der AES-Algorithmus wird inzwischen in etlichen CPUs von Intel oder AMD durch zusätzliche [[AES (Befehlssatzerweiterung)|spezialisierte Maschinenbefehle]] unterstützt, wodurch das Verschlüsseln 5-mal und das Entschlüsseln 25-mal schneller als mit nicht spezialisierten Maschinenbefehlen erfolgt. Damit ist AES auch für mobile Anwendungen Akku-schonend benutzbar und für den Masseneinsatz geeignet.
* Programmier-Softwarebibliotheken wie zum Beispiel [[OpenSSL]] erkennen und nutzen die Hardware-AES-Implementierung und greifen nur, wenn nötig, auf langsamere Softwareimplementierung zurück.


AES-verschlüsselte Kommunikation wird auch zur Verschlüsselung der Datenübertragung zwischen elektronischen Identitätsdokumenten und Inspektionsgeräten verwendet, zum Beispiel bei neueren Reisepässen oder dem Deutschen Personalausweis. So wird das Abhören dieser Kommunikation verhindert. Hier erfolgt die Berechnung meist in dedizierten Koprozessoren für DES und AES, sowohl erheblich schneller als auch sicherer als in einer Allzweck-CPU möglich.
AES-verschlüsselte Kommunikation wird auch zur Kryptografie der Datenübertragung zwischen elektronischen Identitätsdokumenten und Inspektionsgeräten verwendet, zum Beispiel bei neueren Reisepässen oder dem Deutschen Personalausweis.
* So wird das Abhören dieser Kommunikation verhindert.
* Hier erfolgt die Berechnung meist in dedizierten Koprozessoren für DES und AES, sowohl erheblich schneller als auch sicherer als in einer Allzweck-CPU möglich.


Da AES eine Blockverschlüsselung ist, sollte ein [[Betriebsmodus (Kryptographie)|Betriebsmodus]] verwendet werden um die Blöcke zu verketten. Dadurch wird die Sicherheit weiter erhöht.
Da AES eine Blockverschlüsselung ist, sollte ein [[Betriebsmodus (Kryptographie)|Betriebsmodus]] verwendet werden um die Blöcke zu verketten.
* Dadurch wird die Sicherheit weiter erhöht.


== Schwächen und Angriffe ==
== Schwächen und Angriffe ==
=== Kritikpunkte ===
siehe [[AES:Angriffe]]
Rijndael überzeugte im AES-Wettbewerb durch seine mathematisch elegante und einfache Struktur sowie durch seine Effizienz. Allerdings sahen manche Kryptographen gerade darin ein Problem:
* Die S-Boxen lassen sich algebraisch einfach beschreiben, und sie sind die einzige nichtlineare Komponente der Chiffre. Dadurch lässt sich der gesamte Algorithmus als Gleichungssystem beschreiben.<ref name="ferguson" />
* Durch die einfache Schlüsseleinteilung würden mit einem beliebigen Rundenschlüssel auch 128 Bit des Verfahrensschlüssels [[Kompromittierung (Kryptologie)|kompromittiert]].
Ein weiterer Kritikpunkt war die relativ geringe Sicherheitsmarge, die nach damaligem Stand der Analyse nur drei (bei 128 Bit Schlüssellänge) bis fünf Runden (bei 256 Bit Schlüssellänge) betrug.<ref name="ferguson">{{Literatur |Autor=[[Niels Ferguson]], [[Bruce Schneier]] |Titel=Practical Cryptography |Verlag=Wiley Publishing |Ort=Indianapolis |Datum=2003 |ISBN=978-0-471-22357-3 |Seiten=56}}</ref>
 
=== Biclique-Angriff ===
Auf der Rump-Session der Konferenz [[CRYPTO (Veranstaltung)|CRYPTO]] im August 2011 stellten die Kryptologen Andrey Bogdanov, Dmitry Khovratovich und Christian Rechberger den ersten Angriff auf den vollen AES-Algorithmus vor.<ref name="biclique">{{Literatur |Autor=Andrey Bogdanov, Dmitry Khovratovich, Christian Rechberger |Titel=Biclique Cryptanalysis of the Full AES |Sammelwerk=ASIACRYPT 2011 |Reihe=[[Lecture Notes in Computer Science]] |Band=7073 |Verlag=Springer |Datum=2011 |Seiten=344–371 |Online=http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf |Abruf=2012-11-29}} {{Webarchiv |url=http://research.microsoft.com/en-us/projects/cryptanalysis/aesbc.pdf |wayback=20160306104007 |text=Biclique Cryptanalysis of the Full AES}}</ref> Dieser Angriff ist bei den verschiedenen Schlüssellängen im Schnitt etwa um den Faktor 4 schneller als ein [[Brute-Force-Methode|vollständiges Durchsuchen]] des [[Schlüsselraum (Kryptologie)|Schlüsselraumes]]. Damit zeigt er die prinzipielle Angreifbarkeit von AES, ist aber für die praktische Sicherheit nicht relevant. Der Angriff berechnet den geheimen Schlüssel von AES-128 in 2<sup>126,1</sup> Schritten. Bei AES-192 werden 2<sup>189,7</sup> Schritte, bei AES-256 2<sup>254,4</sup> Schritte benötigt.
 
=== XSL-Angriff ===
2002 wurde von Courtois und Pieprzyk ein theoretischer Angriff namens XSL (für eXtended Sparse Linearization) gegen Serpent und Rijndael vorgestellt (siehe [[Serpent (Verschlüsselung)#Angriff|Serpent]]). Mit dem XSL-Angriff ist nach Angabe der Autoren eine [[Komplexität (Informatik)|Komplexität]] im Bereich von <math>2^{100}</math> Operationen erreichbar. XSL ist die Weiterentwicklung einer heuristischen Technik namens XL (für eXtended Linearization), mit der es manchmal gelingt, große nichtlineare Gleichungssysteme effizient zu lösen. XL wurde ursprünglich zur Analyse von Public-Key-Verfahren entwickelt. Der Einsatz im Kontext von symmetrischen Kryptosystemen ist eine Innovation von Courtois und Pieprzyk. Grob kann die Technik und ihre Anwendung auf symmetrische Kryptosysteme wie folgt beschrieben werden:
 
Die Blockchiffre wird als überspezifiziertes System quadratischer Gleichungen in GF(2) beschrieben. Überspezifiziert bedeutet, dass es mehr Gleichungen als Variablen gibt. Variablen und Konstanten können nur die Werte 0 und 1 annehmen. Die Addition entspricht dem logischen eXklusiv-OdeR (XOR), die Multiplikation dem logischen UND. Eine solche Gleichung könnte wie folgt aussehen:
 
:<math>x_1 + x_2 \cdot x_3 + x_2 \cdot x_4 \equiv 1 \mod 2</math>
 
Diese Gleichung besteht aus einem linearen Term (der Variablen <math>x_1</math>), zwei quadratischen Termen (<math>x_2 \cdot x_3</math> und <math>x_2 \cdot x_4</math>) und einem konstanten Term (<math>1</math>).
 
Einige Wissenschaftler zweifeln die Korrektheit der Abschätzungen von Courtois und Pieprzyk an:
 
{{Zitat-en
|Text=I believe that the Courtois-Pieprzyk work is flawed. They overcount the number of linearly independent equations. The result is that they do not in fact have enough linear equations to solve the system, and the method does not break Rijndael … The method has some merit, and is worth investigating, but it does not break Rijndael as it stands.
|Autor=[[Don Coppersmith]]
|Übersetzung=Ich glaube, dass die Arbeit von Courtois und Pieprzyk fehlerhaft ist; sie schätzen die Anzahl der linear unabhängigen Gleichungen zu hoch ein. Das Resultat ist, dass sie in Wirklichkeit nicht genug lineare Gleichungen erhalten, um das System zu lösen, und die Methode somit Rijndael nicht bricht […] Die Methode besitzt ihre Vorzüge und ist es wert, weiter untersucht zu werden, allerdings bricht sie in ihrer aktuellen Form Rijndael nicht.
|ref=<ref>[http://www.schneier.com/crypto-gram-0210.html#8 Comments from Readers]</ref>}}
 
Diese Art von System kann typischerweise sehr groß werden, im Falle der 128-Bit-AES-Variante wächst es auf 8000 quadratische Gleichungen mit 1600 Variablen an, womit der XSL-Angriff in der Praxis nicht anwendbar ist.
Das Lösen von Systemen quadratischer Gleichungen ist ein [[NP-Schwere|NP-schweres]] Problem mit verschiedenen Anwendungsfeldern in der Kryptographie.
 
=== Weitere Angriffe ===
Kurz vor der Bekanntgabe des AES-Wettbewerbs stellten verschiedene Autoren eine einfache algebraische Darstellung von AES als [[Kettenbruch]] vor. Dies könnte für erfolgreiche Angriffe genutzt werden. Hierzu gibt es einen Videovortrag von [[Niels Ferguson]] auf der HAL 2001.<ref>[http://ftp.ccc.de/events/hal2001/video/hal2001_cryptoanalis_of_rijndael_48.mp4 ftp.ccc.de]</ref>
 
Im Jahr 2003 entdeckten Sean Murphy und Matt Robshaw eine alternative Beschreibung des AES, indem sie diesen in eine Blockchiffre namens BES einbetteten, welche anstatt auf Datenbits auf Datenblöcken von 128 Bytes arbeitet. Die Anwendung des XSL-Algorithmus auf BES reduziert dessen Komplexität auf 2<sup>100</sup>, wenn die Kryptoanalyse von Courtois und Pieprzyk korrekt ist.
 
Im Mai 2005 veröffentlichte [[Daniel J. Bernstein|Daniel Bernstein]] einen Artikel über eine unerwartet einfache [[Seitenkanalattacke#Rechenzeitangriff (Timing Attack)|Timing-Attacke]]<ref>[http://cr.yp.to/antiforgery/cachetiming-20050414.pdf Cache-timing attacks on AES (PDF-Version; 426&nbsp;kB)]</ref> (eine Art der [[Seitenkanalattacke]]) auf den Advanced Encryption Standard.
 
Die Forscher Alex Biryukov und Dmitry Khovratovich veröffentlichten Mitte des Jahres 2009 einen Angriff mit verwandtem Schlüssel<ref>[https://www.cryptolux.org/images/1/1a/Aes-192-256.pdf Related-key Cryptanalysis of the Full AES-192 and AES-256] (PDF; 354&nbsp;kB)</ref> auf die AES-Varianten mit 192 und 256 Bit Schlüssellänge. Dabei nutzten sie Schwächen in der Schlüsselexpansion aus und konnten eine Komplexität von 2<sup>119</sup> erreichen. Damit ist die AES-Variante mit 256 Bit Schlüssellänge formal schwächer als die Variante mit 128 Bit Schlüssellänge.<ref>{{Webarchiv |url=https://cryptolux.org/index.php/FAQ_on_the_attacks |text=FAQ zum Angriff |wayback=20131113115057 |archive-today= |archiv-bot=}}</ref> Ende 2009 wurde mit einer Verbesserung des Angriffs eine Komplexität von nur noch 2<sup>99,5</sup> erreicht.<ref name="BK09">Biryukov, Alex; Khovratovich, Dmitry: [http://eprint.iacr.org/2009/317 „Related-key Cryptanalysis of the Full AES-192 and AES-256“], (4. Dezember 2009)</ref> Für die Praxis hat dieser Angriff jedoch wenig Relevanz, denn AES bleibt weiterhin praktisch berechnungssicher.<ref name="BK09" />
 
Im März 2012 wurde bekannt, dass die NSA in ihrem neuen [[Utah Data Center]] neben dem Speichern großer Teile der gesamten Internetkommunikation auch mit enormen Rechenressourcen am Brechen von AES arbeitet.<ref>[http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/all/ The NSA Is Building the Country’s Biggest Spy Center (Watch What You Say)]</ref> Die Eröffnung des Rechenzentrums läuft schrittweise seit September 2013.<ref>[https://www.heise.de/newsticker/meldung/Bericht-Groesstes-NSA-Rechenzentrum-laeuft-sich-warm-1969289.html Bericht: Größtes NSA-Rechenzentrum läuft sich warm]</ref>
 
Craig Ramsay & Jasper Lohuis, als Forscherteam der beiden Unternehmen Fox-IT und Riscure, beschreiben 2017<ref>{{Webarchiv|url=https://www.fox-it.com/nl/wp-content/uploads/sites/12/Tempest_attacks_against_AES.pdf |wayback=20170629014028 |text=fox-it.com |archiv-bot=2022-08-26 12:32:30 InternetArchiveBot }}</ref> einen Angriff, bei dem sie die von der CPU abgestrahlten Funksignale zur Entschlüsselung verwenden. Damit ließe sich der AES-Schlüssel in maximal fünf Minuten ermitteln, wenn Sniffer und angegriffene CPU etwa 1 Meter entfernt voneinander stehen. Bei 30 Zentimeter Distanz schrumpfe die Zeit auf etwa 50 Sekunden.<ref>{{Internetquelle |url=https://www.heise.de/newsticker/meldung/AES-Schluessel-stehlen-Van-Eck-Phreaking-fuer-200-Euro-3772462.html |titel=AES-Schlüssel stehlen: Van-Eck-Phreaking für 200 Euro |autor=Dusan Zivadinovic |abruf=2017-09-18}}</ref> Man muss aber beachten, dass dies ein Angriff auf eine einzelne Implementierung des Algorithmus auf einer bestimmten CPU ist, nicht auf den Algorithmus an sich. Ein solcher Angriff ist nur unter sehr speziellen Bedingungen durchführbar und kann nicht unbedingt verallgemeinert werden.
 
== Literatur ==
* [[Joan Daemen]], [[Vincent Rijmen]]: ''The Design of Rijndael. AES: The Advanced Encryption Standard''. Springer, Berlin u.&nbsp;a. 2002, ISBN 3-540-42580-2 (''Information Security and Cryptography''), (englisch).


== Weblinks ==
<noinclude>
* Offizielle Spezifikation des AES vom NIST, [[doi:10.6028/NIST.FIPS.197]]
== Anhang ==
* [http://www.repges.net/AES-Kandidaten/aes-kandidaten.html Beschreibung von Markus Repges der AES-Kandidaten (Finalisten)]
=== Siehe auch ===
* [http://csrc.nist.gov/archive/aes/round2/r2report.pdf NIST, Report on the Development of the Advanced Encryption Standard (AES), 2. Oktober 2000] (PDF; 383&nbsp;kB)
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
* [http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf Animation von AES in Englisch] – AES mit Flash erklärt und animiert (Flash-Animation by Enrique Zabala / Universität ORT / Montevideo / Uruguay). Verfügbar auch in Deutsch als [http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_ger.zip ZIP-Datei]. Diese Animation ist (in deutsch, englisch und spanisch) auch Teil von [[CrypTool|CrypTool 1]], Menü Einzelverfahren -> Visualisierung von Algorithmen -> AES.
* [http://www.codeplanet.eu/tutorials/cpp/51-advanced-encryption-standard.html AES Artikel] – Sehr detaillierte deutsche Erklärung des AES mitsamt Rechenbeispielen und Implementierung in der Programmiersprache C
* [http://www.codeproject.com/KB/security/BlockCiphers.aspx Applied Crypto++: Block Ciphers] Ein Artikel über Crypto++ auf codeproject.com mit dem Titel ''Encrypt Data using Symmetric Encryption with Crypto++''


== Einzelnachweise ==
==== Sicherheit ====
<references />
==== Dokumentation ====
==== Links ====
===== Dokumentation =====
# [[doi:10.6028/NIST.FIPS.197 | Offizielle Spezifikation des AES vom NIST]]


[[Kategorie:Advanced Encryption Standard| ]]
===== Weblinks =====
# [http://www.repges.net/AES-Kandidaten/aes-kandidaten.html Beschreibung von Markus Repges der AES-Kandidaten (Finalisten)]
# [http://csrc.nist.gov/archive/aes/round2/r2report.pdf NIST, Report on the Development of the Advanced Encryption Standard (AES), 2. Oktober 2000]
# [http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_eng.swf Animation von AES (Englisch)]
# [http://www.formaestudio.com/rijndaelinspector/archivos/Rijndael_Animation_v4_ger.zip ZIP-Datei]
# [http://www.codeplanet.eu/tutorials/cpp/51-advanced-encryption-standard.html detaillierte Beschreinung]
# [http://www.codeproject.com/KB/security/BlockCiphers.aspx Applied Crypto++: Block Ciphers] Ein Artikel über Crypto++ auf codeproject.com mit dem Titel ''Encrypt Data using Symmetric Encryption with Crypto++''


[[Kategorie:AES]]


[[Kategorie:Entwurf]]
</noinclude>
[[Kategorie:Verschlüsselung]]

Aktuelle Version vom 27. Juli 2024, 10:36 Uhr

Advanced Encryption Standard (AES) ist eins symmetrisches Kryptografieverfahren

Beschreibung

name = AES
entwickler = Joan Daemen, Vincent Rijmen
datum = 1998, Zertifizierung Oktober 2000
Schlüssellänge = 128, 192 oder 256 Bit
Blockgröße = 128 Bit Im Rijndael-Algorithmus werden Blockgrößen von 128, 160, 192, 224, und 256 Bits unterstützt, im AES-Standard wird aber nur eine 128-bit Blockgröße spezifiziert.
struktur = Substitutions-Permutations-Netzwerk
runden = 10, 12 oder 14 (schlüssellängenabhängig)
kryptoanalyse = Der geheime Schlüssel kann bei AES-128 in  Schritten, bei AES-192 in  Schritten und bei AES-256 in  Schritten gefunden werden.

Der Advanced Encryption Standard (AES) (Vorlage:DeS) ist eine Blockchiffre, die als Nachfolger des DES im Oktober 2000 vom National Institute of Standards and Technology (NIST) als US-amerikanischer Standard bekanntgegeben wurde.

Rijndael

Es handelt sich um ein symmetrisches Kryptografieverfahren, d. h. der Schlüssel zum Ver- und Entschlüsseln ist identisch.

  • Der Rijndael-Algorithmus besitzt variable, voneinander unabhängige Block- und Schlüssellängen von 128, 160, 192, 224 oder 256 Bit.
Rijndael bietet ein sehr hohes Maß an Sicherheit
  • erst mehr als zehn Jahre nach seiner Standardisierung wurde der erste theoretisch interessante, praktisch aber nicht relevante Angriff gefunden.
AES schränkt die Blocklänge auf 128 Bit und die Wahl der Schlüssellänge auf 128, 192 oder 256 Bit ein.
  • Die Bezeichnungen der drei AES-Varianten AES-128, AES-192 und AES-256 beziehen sich jeweils auf die gewählte Schlüssellänge.
  • AES ist frei verfügbar und darf ohne Lizenzgebühren eingesetzt sowie in Soft- und Hardware implementiert werden.
Das Verfahren ist pragmatisch sicher, das heißt, es ist kein praktisch durchführbarer Angriff bekannt.
  • Es ist jedoch theoretisch gebrochen: die Entzifferung ist unter Umständen mit geringerem (aber noch immer unrealistisch hohem) Aufwand möglich als das systematische Durchprobieren aller möglicher Schlüssel.
  • AES-192 und AES-256 sind in den USA für staatliche Dokumente mit höchstem Geheimhaltungsgrad zugelassen.
Entstehung

Bis zum Einsatz von AES war der Data Encryption Standard (DES) der am häufigsten genutzte symmetrische Algorithmus zur Kryptografie von Daten.

  • Spätestens seit den 1990er Jahren galt er mit seiner Schlüssellänge von 56 Bit als nicht mehr ausreichend sicher gegen Angriffe mit der Brute-Force.
  • Ein neuer, besserer Algorithmus musste gefunden werden.

Suche nach einem DES-Nachfolger

Das amerikanische Handelsministerium schrieb die Suche nach einem Nachfolgealgorithmus am 2. Januar 1997 international aus, federführend für die Auswahl war das US-amerikanische National Institute of Standards and Technology in Gaithersburg, Maryland.

  • Nach einer internationalen Konferenz am 15. April 1997 veröffentlichte es am 12. September 1997 die endgültige Ausschreibung.
  • Die Art der Suche sowie die Auswahlkriterien unterschieden sich damit beträchtlich von der hinter verschlossenen Türen erfolgten DES-Entwicklung.
  • Der Sieger der Ausschreibung, der als Advanced Encryption Standard (AES) festgelegt werden sollte, musste folgende Kriterien erfüllen:
  • AES muss ein symmetrischer Algorithmus sein, und zwar eine Blockchiffre.
  • AES muss 128 Bit lange Blöcke verwenden (dies wurde erst während der Ausschreibung festgelegt, zu Beginn der Ausschreibung waren auch Blockgrößen von 192 und 256 Bit verlangt, diese wurden nur als mögliche Erweiterungen beibehalten)
  • AES muss Schlüssel von 128, 192 und 256 Bit Länge einsetzen können.
  • AES soll gleichermaßen leicht in Hard- und Software zu implementieren sein.
  • AES soll in Hardware wie Software eine überdurchschnittliche Leistung haben.
  • AES soll allen bekannten Methoden der Kryptoanalyse widerstehen können und sich für Implementierungen eignen, die sicher gegen Power- und Timing-Attacken sind.
  • Speziell für den Einsatz in Smartcards sollen geringe Ressourcen erforderlich sein (Codelänge, Speicherbedarf).
  • Der Algorithmus muss frei von patentrechtlichen Ansprüchen sein und muss von jedermann unentgeltlich genutzt werden können.

Die Auswahlkriterien wurden in drei Hauptkategorien unterteilt: Sicherheit, Kosten sowie Algorithmus- und Implementierungscharakteristiken.

  • Die Sicherheit war der wichtigste Faktor in der Evaluierung und umfasste die Eigenschaften Widerstandsfähigkeit des Algorithmus gegen Kryptoanalyse, Zufälligkeit des Chiffrats, Stichhaltigkeit der mathematischen Basis sowie die relative Sicherheit im Vergleich zu den anderen Kandidaten.
Kosten, der nächste wichtige Faktor, ist im Sinne des Auswahlverfahrens als Überbegriff zu verstehen
  • Dieser umfasste Lizenzierungsansprüche sowie rechnerische Effizienz auf verschiedenen Plattformen und Speicherverbrauch.
  • Da eines der wichtigsten Ziele, die das NIST ausgearbeitet hatte, die weltweite Verbreitung auf lizenzfreier Basis war und dass AES von jedermann unentgeltlich genutzt werden kann, wurden öffentliche Kommentare und Anregungen zu Lizenzansprüchen und diesbezügliche potenzielle Konflikte spezifisch gesucht.
Anforderung der Geschwindigkeit des Algorithmus auf diversen Plattformen wurde in drei zusätzliche Ziele unterteilt
  • Die rechnerische Geschwindigkeit mit 128-Bit-Schlüsseln.
  • Die rechnerische Geschwindigkeit mit 192-Bit- und 256-Bit-Schlüsseln sowie die rechnerische Geschwindigkeit verschiedener Hardware-Implementierungen.
  • Der Speicherverbrauch und die Grenzen von Software-Implementierungen der Kandidaten waren weitere wichtige Aspekte.
  • Das dritte Ziel, die Algorithmus- und Implementierungscharakteristiken, beinhalteten die Flexibilität, die Eignung für Soft- und Hardware-Implementierungen und die Einfachheit des Algorithmus.
Flexibilität

Unter Flexibilität verstand man die Eigenschaften, dass AES die Schlüssel- und Blockgröße über dem Minimum unterstützen musste und dass er in verschiedenen Typen von Umgebungen sowie zusätzlich als Stromchiffre und kryptologische Hashfunktion sicher und effizient zu implementieren war.

Die Ausschreibung führte bis zum Abgabeschluss am 15. Juni 1998 zu fünfzehn Vorschlägen aus aller Welt.
  • Diese wurden in der AES-Konferenz vom 20. bis 22. August 1998 in Ventura (Kalifornien) vorgestellt, öffentlich diskutiert und auf die Erfüllung der genannten Kriterien geprüft.
  • Die AES-Konferenz vom 22. und 23. April 1999 in Rom führte zu einer ersten Diskussion der Ergebnisse und Empfehlungen, welche der fünfzehn Algorithmen weiter betrachtet werden sollten.
  • Die fünf besten Kandidaten (MARS, RC6, Rijndael, Serpent, Twofish) kamen in die nächste Runde.
Alle fünf Kandidaten erfüllen die oben genannten Forderungen, daher wurden weitere Kriterien hinzugezogen.
  • Es folgte eine Überprüfung der Algorithmen auf theoretische Schwachstellen, durch die der Algorithmus möglicherweise zu einem späteren Zeitpunkt durch technischen Fortschritt unsicher werden kann.
  • So konnten zum damaligen Stand technisch nicht realisierbare Vorgehensweisen in einigen Jahren anwendbar sein, ein solches Risiko sollte minimiert werden.
  • Die Staffelung der Kandidaten nach Ressourcenverbrauch und Leistung war eindeutiger.
  • Der Rijndael-Algorithmus hatte sich in Hardware- und Software-Implementierung als überdurchschnittlich schnell herausgestellt.
  • Die anderen Kandidaten haben jeweils in unterschiedlichen Bereichen kleinere Schwächen.

Im Mai des Jahres 2000 wurden die Analysen und öffentlichen Diskussionen abgeschlossen und am 2. Oktober 2000 der Sieger schließlich bekannt gegeben: der belgische Algorithmus Rijndael.

  • Rijndael überzeugte durch seine Einfachheit (die Referenz-Implementierung umfasst weniger als 500 Zeilen C-Code), Sicherheit und Geschwindigkeit, weshalb sich die USA trotz Sicherheitsbedenken für einen europäischen Algorithmus entschieden.
Dieser Wettbewerb wird als vorbildlich angesehen
  • Der Auswahlprozess faszinierte weltweit viele Kryptographen durch seine offene Gestaltung.

Anwendung

AES wird u. a. vom Kryptografiestandard IEEE 802.11i für Wireless LAN und seinem Wi-Fi-Äquivalent WPA2, bei IEEE802.16 m (WiMAX), für Powerline-Netzwerkverkehr ab der Version HomePlug AV sowie bei SSH und bei IPsec genutzt.

  • Auch in der IP-Telefonie kommt AES sowohl in offenen Protokollen wie SRTP als auch proprietären Systemen wie Skype zum Einsatz.
  • Mac OS X benutzt AES als Standardverschlüsselungsmethode für Disk-Images, außerdem verwendet der Dienst FileVault AES.
  • Ebenso verwendet die transparente Kryptografie EFS in Windows XP ab SP 1 diese Methode.
  • Zudem wird der Algorithmus zur Kryptografie diverser komprimierter Dateiarchive verwendet, z. B. 
  • bei 7-Zip und RAR.
  • In PGP und GnuPG findet AES ebenfalls einen großen Anwendungsbereich.
  • Der Linear Tape Open Standard spezifiziert eine Schnittstelle für AES-Kryptografie durch das Bandlaufwerk ab LTO-4 und ermöglicht so Bandkompression bei gleichzeitiger Kryptografie.

AES gehört zu den vom Projekt NESSIE empfohlenen kryptografischen Algorithmen und ist Teil der Suite B der NSA.

Der AES-Algorithmus wird inzwischen in etlichen CPUs von Intel oder AMD durch zusätzliche spezialisierte Maschinenbefehle unterstützt, wodurch das Verschlüsseln 5-mal und das Entschlüsseln 25-mal schneller als mit nicht spezialisierten Maschinenbefehlen erfolgt. Damit ist AES auch für mobile Anwendungen Akku-schonend benutzbar und für den Masseneinsatz geeignet.

  • Programmier-Softwarebibliotheken wie zum Beispiel OpenSSL erkennen und nutzen die Hardware-AES-Implementierung und greifen nur, wenn nötig, auf langsamere Softwareimplementierung zurück.

AES-verschlüsselte Kommunikation wird auch zur Kryptografie der Datenübertragung zwischen elektronischen Identitätsdokumenten und Inspektionsgeräten verwendet, zum Beispiel bei neueren Reisepässen oder dem Deutschen Personalausweis.

  • So wird das Abhören dieser Kommunikation verhindert.
  • Hier erfolgt die Berechnung meist in dedizierten Koprozessoren für DES und AES, sowohl erheblich schneller als auch sicherer als in einer Allzweck-CPU möglich.

Da AES eine Blockverschlüsselung ist, sollte ein Betriebsmodus verwendet werden um die Blöcke zu verketten.

  • Dadurch wird die Sicherheit weiter erhöht.

Schwächen und Angriffe

siehe AES:Angriffe


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Dokumentation
  1. Offizielle Spezifikation des AES vom NIST
Weblinks
  1. Beschreibung von Markus Repges der AES-Kandidaten (Finalisten)
  2. NIST, Report on the Development of the Advanced Encryption Standard (AES), 2. Oktober 2000
  3. Animation von AES (Englisch)
  4. ZIP-Datei
  5. detaillierte Beschreinung
  6. Applied Crypto++: Block Ciphers Ein Artikel über Crypto++ auf codeproject.com mit dem Titel Encrypt Data using Symmetric Encryption with Crypto++