Warum sollte der ECB-Modus vermieden werden?

Im Electronic Codebook (ECB)-Modus werden identische Klartextblöcke zu identischen Chiffretextblöcken verschlüsselt, wodurch die Datenstruktur sichtbar wird (bekanntlich beim Verschlüsseln eines Bildes). Sichere Modi wie CTR, CBC oder GCM verwenden einen Initialisierungsvektor oder Zähler, sodass Wiederholungen verborgen bleiben.

Ist AES-256 wesentlich sicherer als AES-128?

Beide gelten als sicher gegen klassische Angriffe; AES-128 übertrifft bereits jede machbare Brute-Force-Suche. AES-256 bietet eine größere Sicherheitsmarge und wird für langfristige Vertraulichkeit und Post-Quanten-Absicherung bevorzugt, da Grovers Algorithmus die effektive Schlüssellänge nur halbiert.

Blockchiffren und AES

Blockchiffren verschlüsseln Datenblöcke fester Größe unter einem geheimen Schlüssel; der Advanced Encryption Standard (AES) ist die dominierende moderne Blockchiffre und die Grundlage der meisten eingesetzten symmetrischen Verschlüsselungen.

Thema finden mit PaperMindDemnächstFind papers & topics

Tools & resources

Folien herunterladen

Learn & explore

VideoDemnächst

Definition

Eine Blockchiffre ist eine schlüsselabhängige, invertierbare Funktion, die einen Klartextblock fester Länge von Bits auf einen Chiffretextblock gleicher Länge abbildet; AES ist die standardisierte Blockchiffre, die auf 128-Bit-Blöcken mit 128-, 192- oder 256-Bit-Schlüsseln arbeitet.

Scope

Dieses Thema behandelt die Struktur und Sicherheit von Blockchiffren, einschließlich Substitutions-Permutations-Netzwerken und Feistel-Konstruktionen, insbesondere den AES-Algorithmus, sowie die Betriebsmodi (wie CBC, CTR und GCM), die eine feste Blockprimitive in ein Schema für Nachrichten beliebiger Länge umwandeln. Es befasst sich mit kryptanalytischen Angriffen (differenzielle und lineare Kryptanalyse) und dem Konzept einer Blockchiffre als pseudozufällige Permutation. Stromchiffren und schlüssellose Hash-Funktionen, die separat behandelt werden, sind ausgeschlossen.

Core questions

Wie wird eine sichere Permutation auf einem großen Block aus einfachen, analysierbaren Rundenoperationen aufgebaut?
Warum ist AES als Substitutions-Permutations-Netzwerk und nicht als Feistel-Netzwerk strukturiert?
Wie erweitern Betriebsmodi eine Blockchiffre sicher auf Nachrichten beliebiger Länge?
Was verraten differenzielle und lineare Kryptanalyse über die Widerstandsfähigkeit einer Chiffre gegenüber Angriffen?
Was bedeutet es, eine Blockchiffre als pseudozufällige Permutation zu modellieren?

Key concepts

Blockgröße und Schlüssellänge
Substitutions-Permutations-Netzwerk
Feistel-Netzwerk
S-Box
Runden und Schlüsselerzeugungsplan
Betriebsmodi (ECB, CBC, CTR, GCM)
differenzielle und lineare Kryptanalyse
pseudozufällige Permutation

Key theories

Substitutions-Permutations-Netzwerk: AES iteriert Runden, die eine nichtlineare Byte-Substitution (SubBytes), lineare Mischung (ShiftRows, MixColumns) und Schlüsseladdition kombinieren; die abwechselnde Substitution und Permutation realisiert Shannons Ziele der Konfusion und Diffusion mit nachweisbarem Widerstand gegen differenzielle und lineare Angriffe.
Betriebsmodi: Eine Blockchiffre allein verschlüsselt nur einen Block; Modi wie CBC, CTR und das authentifizierte GCM legen fest, wie Blöcke verkettet oder gezählt werden, damit lange Nachrichten sicher und in authentifizierten Modi mit Integrität verschlüsselt werden.

Mechanisms

AES verarbeitet einen 128-Bit-Block, der als 4x4-Byte-Matrix angeordnet ist, über 10, 12 oder 14 Runden (für 128-, 192-, 256-Bit-Schlüssel). Jede Runde wendet SubBytes (eine feste nichtlineare S-Box), ShiftRows (eine Byte-Permutation), MixColumns (eine lineare Transformation über einem endlichen Feld) und AddRoundKey (XOR mit einem Rundenschlüssel aus dem Schlüsselerzeugungsplan) an. Die Kombination bietet eine starke Diffusion innerhalb weniger Runden und Widerstand gegen bekannte Kryptanalyse.

Clinical relevance

AES ist in eingesetzten Systemen allgegenwärtig: Es sichert die Massendaten des TLS-geschützten Webverkehrs, die vollständige Festplattenverschlüsselung (BitLocker, FileVault, LUKS), Wi-Fi (WPA2/WPA3), VPNs und verschlüsselte Nachrichten. Hardware-AES-Anweisungen (AES-NI) machen es schnell genug, um Hochdurchsatzverbindungen transparent zu verschlüsseln.

Evidence & guidelines

AES ist in NIST FIPS 197 spezifiziert und für den Schutz klassifizierter Informationen bis TOP SECRET (mit 192- oder 256-Bit-Schlüsseln) unter der Commercial National Security Algorithm Suite der NSA zugelassen. Die Blockchiffre-Modi sind in der NIST SP 800-38-Reihe standardisiert. Das ältere DES ist veraltet; AES-GCM und AES-CCM sind die empfohlenen authentifizierten Modi.

History

Nachdem DES (1977) mit seinem 56-Bit-Schlüssel zu schwach wurde, veranstaltete NIST einen offenen, internationalen Wettbewerb (1997-2000), um einen Nachfolger auszuwählen. Fünfzehn Kandidaten wurden öffentlich kryptanalysiert; das Rijndael-Design der belgischen Kryptographen Joan Daemen und Vincent Rijmen wurde ausgewählt und 2001 in FIPS 197 als AES standardisiert. Die differenzielle Kryptanalyse (Biham und Shamir) und die lineare Kryptanalyse (Matsui), die gegen DES entwickelt wurden, prägten die Designkriterien für AES.

Key figures

Joan Daemen
Vincent Rijmen
Horst Feistel
Eli Biham
Adi Shamir
Mitsuru Matsui

Seminal works

daemen2002
nist2001aes
katz2020

Frequently asked questions

Warum sollte der ECB-Modus vermieden werden?: Im Electronic Codebook (ECB)-Modus werden identische Klartextblöcke zu identischen Chiffretextblöcken verschlüsselt, wodurch die Datenstruktur sichtbar wird (bekanntlich beim Verschlüsseln eines Bildes). Sichere Modi wie CTR, CBC oder GCM verwenden einen Initialisierungsvektor oder Zähler, sodass Wiederholungen verborgen bleiben.
Ist AES-256 wesentlich sicherer als AES-128?: Beide gelten als sicher gegen klassische Angriffe; AES-128 übertrifft bereits jede machbare Brute-Force-Suche. AES-256 bietet eine größere Sicherheitsmarge und wird für langfristige Vertraulichkeit und Post-Quanten-Absicherung bevorzugt, da Grovers Algorithmus die effektive Schlüssellänge nur halbiert.