Wenn es um die nationale Sicherheit geht, werden starke Verschlüsselungsmaßnahmen ergriffen, um Daten zu schützen. Der Advanced Encryption Standard (AES), der ursprünglich von der US-Bundesregierung eingeführt wurde, hat sich zu einem Industriestandard für den Schutz von Daten entwickelt und muss Teil einer integrierten Risikomanagementstrategie jedes Unternehmens sein. AES gibt es in 128-Bit-, 192-Bit- und 256-Bit-Implementierungen, wobei die 256-Bit-Implementierung die sicherste ist. Diese Glossar-Seite erklärt, was die AES-256-Verschlüsselung beinhaltet, wie sie funktioniert und wie Sicher sie ist.

Alles, was Sie über AES-256-Verschlüsselung wissen müssen

Was ist AES-256-Verschlüsselung?

Der Advanced Encryption Standard (AES) ist eine symmetrische Blockchiffre, die von der US-Regierung zum Schutz geheimer Daten eingesetzt wird. Bei der AES-256-Verschlüsselung wird die Schlüssellänge von 256 Bit verwendet, um einen Nachrichtenblock sowohl zu verschlüsseln als auch zu entschlüsseln. Es gibt 14 Verschlüsselungsrunden mit 256-Bit-Schlüsseln, wobei jede Runde aus Verarbeitungsschritten besteht, die eine Substitution, Transposition und Vermischung von Klartext beinhalten, um ihn in Chiffretext umzuwandeln.

Das National Institute of Standards & Technology (NIST) begann 1997 mit der Entwicklung von AES, als sich die Notwendigkeit ergab, einen alternativen Standard zum Data Encryption Standard (DES) zu schaffen. DES war zunehmend anfällig für Brute-Force-Angriffe geworden.

Der AES wurde als Verschlüsselungsstandard von der National Security Agency (NSA) genehmigt, um geheime und streng geheime Regierungsinformationen zu schützen. Seitdem ist er ein Industriestandard für die Verschlüsselung von Informationen geworden. AES ist ein offener Standard, d.h. er kann für öffentliche, private, kommerzielle und nicht-kommerzielle Implementierungen verwendet werden.

Welche Verschlüsselungsfunktionen bietet der AES?

Das AES-Verfahren besteht aus mehreren Hauptfunktionen:

Substitutions-Permutations-Netzwerk (SP)

Die AES-256-Verschlüsselung basiert auf einem Substitutions-Permutations-Netzwerk, auch bekannt als SP-Netzwerk. Die Verschlüsselung erfolgt über eine SP-Netzwerkstruktur und nicht über eine Feistel-Chiffre-Struktur, die sowohl für die Verschlüsselung als auch für die Entschlüsselung denselben Grundalgorithmus verwendet.

Schlüssel-Expansion

Der Algorithmus nimmt in der ersten Phase einen einzigen Schlüssel auf. Dieser wird später auf mehrere Schlüssel erweitert, die in jeder Runde verwendet werden.

Byte-Daten

Der AES-Verschlüsselungsalgorithmus arbeitet mit Byte-Daten anstelle von Bit-Daten. Das bedeutet, dass er die 128-Bit-Blockgröße während des Verschlüsselungsvorgangs als 16 Bytes behandelt.

Schlüssellänge

Die Anzahl der durchzuführenden Verschlüsselungsrunden hängt von der Schlüssellänge ab, die zur Verschlüsselung der Daten verwendet wird. Bei einer 256-Bit-Schlüssellänge werden 14 Runden durchgeführt.

Wie funktioniert die AES-256-Verschlüsselung?

Da es sich beim AES-Verfahren um eine symmetrische Chiffre handelt, wird sowohl für die Verschlüsselung als auch für die Entschlüsselung der gleiche geheime Schlüssel (Secret Key) verwendet. Das bedeutet, dass sowohl der Absender als auch der Empfänger der betreffenden Daten eine Kopie des geheimen Schlüssels benötigen. Symmetrische Schlüssel eignen sich besser für interne Übertragungen, im Gegensatz zu asymmetrischen Schlüsseln, die am besten für externe Übertragungen geeignet sind. Symmetrische Schlüssel, wie z. B. AES, sind schneller und effizienter, da sie weniger Rechenleistung benötigen als asymmetrische Schlüsselalgorithmen.

Außerdem arbeitet AES mit Blockchiffren, bei denen der Klartext in Abschnitte, so genannte Blöcke, unterteilt wird. AES verwendet eine 128-Bit-Blockgröße, wobei die Daten in 4×4-Matrizes mit 16 Bytes unterteilt werden. Jedes Byte enthält 8 Bits, so dass die Gesamtzahl der Bits in jedem Block 128 beträgt. Beim AES-Verfahren bleibt die Größe der verschlüsselten Daten gleich. Das bedeutet, dass 128 Bits Klartext 128 Bits Chiffretext ergeben.

Bei jeder Verschlüsselung wird jede Dateneinheit durch eine andere Einheit ersetzt, entsprechend dem verwendeten Sicherheitsschlüssel. AES ist ein Substitutions-Permutations-Netzwerk, das einen Schlüssel-Expansionsprozess verwendet, bei dem der ursprüngliche Schlüssel verwendet wird, um neue Schlüssel, die so genannten Rundenschlüssel, zu erzeugen. Die Rundenschlüssel werden über mehrere Modifikationsrunden erzeugt. Jede Runde macht es schwieriger, die Verschlüsselung zu knacken. Die AES-256-Verschlüsselung verwendet 14 solcher Runden.

AES funktioniert, indem der ursprüngliche Schlüssel mit Hilfe einer exklusiven oder (XOR) Chiffre zu einem Block hinzugefügt wird. Dieser Vorgang ist in der Prozessor-Hardware integriert. In dem Block wird jedes Datenbyte durch ein anderes ersetzt, entsprechend einer vorgegebenen Tabelle. Die Zeilen der 4×4-Matrix werden verschoben, wobei die Bytes in der zweiten Zeile um ein Leerzeichen nach links verschoben werden. Die Bytes in der dritten Reihe werden um zwei Leerzeichen verschoben und die in der vierten Reihe um drei Leerzeichen. Die Spalten werden dann gemischt, wobei die vier Bytes in jeder Spalte kombiniert werden, und der Rundenschlüssel wird dem Block hinzugefügt. Der Vorgang wird für jede Runde wiederholt, so dass ein Chiffriertext entsteht, der sich vollständig vom Klartext unterscheidet.

Dieser Verschlüsselungsalgorithmus bietet die folgenden Vorteile:

  • Die Verwendung eines anderen Schlüssels für jede Runde führt zu einem viel komplexeren Ergebnis.
  • Die Byte-Ersetzung verändert die Daten auf nichtlineare Weise und verbirgt so die Beziehung zwischen Klartext und verschlüsseltem Text.
  • Durch das Verschieben von Zeilen und Mischen von Spalten werden Daten gestreut und damit Bytes vertauscht. Dies verkompliziert die Verschlüsselung zusätzlich.

Das Ergebnis dieser Prozesse ist ein sicherer Datenaustausch. Derselbe Prozess wird in umgekehrter Reihenfolge für die Entschlüsselung wiederholt.

AES-256 Entschlüsselungsverfahren

Mithilfe der umgekehrten Verschlüsselung können die AES-Chiffre-Texte wieder in den Ausgangszustand versetzt werden. Wie wir oben gesehen haben, verwendet AES eine symmetrische Verschlüsselung, was bedeutet, dass der geheime Schlüssel, der für die Verschlüsselung verwendet wird, auch für die Entschlüsselung verwendet wird.

Im Falle der AES-256-Entschlüsselung beginnt der Prozess mit dem inversen Rundenschlüssel. Der Algorithmus kehrt dann jede Aktion um, nämlich: Verschieben von Zeilen, Ersetzen von Bytes und Mischen von Spalten, bis er die ursprüngliche Nachricht entschlüsselt hat.

Ist die AES-256-Verschlüsselung unangreifbar?

Die AES-256-Verschlüsselung ist praktisch mit keiner Brute-Force-Methode zu knacken. Es würde Millionen von Jahren dauern, sie mit der heutigen Computertechnologie und den derzeitigen Mitteln zu knacken.

Allerdings ist kein Verschlüsselungsstandard oder -system vollkommen sicher. Im Jahr 2009 wurde bei einer Kryptoanalyse ein möglicher Angriff mit verwandten Schlüsseln entdeckt. Bei einem solchen Angriff versuchen Angreifer, eine Chiffre zu knacken, indem sie beobachten, wie sie unter Verwendung verschiedener Schlüssel funktioniert. Glücklicherweise sind Experten inzwischen zu dem Schluss gekommen, dass eine solche Bedrohung nur bei AES-Systemen auftreten kann, die nicht korrekt konfiguriert sind.

Da es fast unmöglich ist, die AES-Chiffre mit einer Brute-Force-Methode zu knacken, besteht die größte Gefahr für diesen Standard in Seitenkanalangriffen. Bei diesen Angriffen versuchen Angreifer, Informationen aus einem System abzugreifen, um herauszufinden, wie die Verschlüsselungsalgorithmen funktionieren. Dies kann jedoch nur in unsicheren Systemen geschehen. Eine solide AES-256-Implementierung schützt ein System vor Seitenkanalangriffen.

So sicher die AES-256-Verschlüsselung auch ist, kann ein verwundbares System dazu führen, dass ein Angreifer den geheimen Schlüssel selbst erlangt. Ein Zero-Trust-Sicherheitsansatz kann sicherstellen, dass Unternehmen ihrer digitalen Kommunikation beim Datenaustausch vertrauen und diese verifizieren. Darüber hinaus sollten Unternehmen bei der Sicherheit einen Defense-in-Depth-Ansatz verfolgen, der eine Multi-Faktor-Authentifizierung, eine gehärtete Infrastruktur und eine proaktive und integrierte Reaktion auf Vorfälle umfasst. Eingehende Kommunikation mit sensiblen Inhalten muss mit Hilfe von Data Loss Prevention-, Antivirus- und Anti-Malware-Funktionen überprüft werden, während ausgehende Kommunikation mit sensiblen Inhalten ebenfalls Data Loss Prevention nutzen sollte. Diese Funktionen sollten in jeden Ansatz des Cyber-Risikomanagements einbezogen werden.

Der offene Charakter des AES-256 macht ihn zu einem der sichersten Verschlüsselungsstandards. Cybersecurity-Experten halten kontinuierlich Ausschau nach potenziellen Schwachstellen. Wenn eine Schwachstelle entdeckt wird, werden die Benutzer benachrichtigt und es werden Maßnahmen ergriffen, um das Problem zu beheben.

Beispiele für den Einsatz der AES-256-Verschlüsselung

Im Folgenden finden Sie einige Anwendungsfälle für die AES-256-Verschlüsselung:

  1. US-Regierungsstellen wie die NSA, das Militär und viele andere Stellen verwenden AES-Verschlüsselung für die sichere Kommunikation und Speicherung von Daten.
  2. Viele Geräte, Anwendungen und Netzwerke verwenden heute AES-256-Verschlüsselung, um Daten im Ruhezustand und bei der Übertragung zu schützen. Viele SSDs verwenden AES-Verschlüsselungsalgorithmen.
  3. Alle in der Google Cloud gespeicherten Daten werden standardmäßig mit dem AES-256 verschlüsselt.
  4. AWS, Oracle und IBM verwenden ebenfalls den Verschlüsselungsstandard AES-256.
  5. WhatsApp-Nachrichten werden mit dem AES-256 verschlüsselt.

AES-256 für die Kommunikation sensibler Inhalte

Unternehmen müssen Daten sowohl im Ruhezustand als auch bei der Übertragung schützen und vertraulich behandeln. In beiden Fällen muss Verschlüsselung eingesetzt werden. Für Daten im ruhenden Zustand ist die AES-256-Verschlüsselung oft die beste Option, während die TLS-Verschlüsselung (Transport Layer Security) Secure Sockets Layer (SSL)-Tunnel zum Schutz vertraulicher Inhalte erstellt. Zu den sensiblen Daten, die verschlüsselt werden müssen, gehören personenbezogene Daten, geschützte Gesundheitsinformationen, Finanzdaten und strategische Produkt-, Marketing- und Vertriebspläne des Unternehmens.

Die Kiteworks-Plattform verwendet zwei Stufen der AES-256-Verschlüsselung: Die Verschlüsselung auf Festplattenebene wird von dm-crypt mit AES-256-XTS durchgeführt, während die Verschlüsselung auf Dateiebene mit AES-128-CRR erfolgt.

Kiteworks verschlüsselt jeden Inhalt mit einem eindeutigen, starken Schlüssel auf Dateiebene und mit einem anderen starken Schlüssel auf Festplattenebene. Dadurch wird sichergestellt, dass jede Datei doppelt verschlüsselt ist. Außerdem werden Dateischlüssel, Volume-Schlüssel und andere Zwischenschlüssel bei der Speicherung verschlüsselt.

Mit Hilfe einer vom Administrator eingegebenen Passphrase generiert Kiteworks einen Superschlüssel, der für die Verschlüsselung aller gespeicherten Schlüssel verwendet wird. Wenn ein Administrator die Passphrase, wie empfohlen, regelmäßig wechselt, ist der Prozess schnell und effizient, da nur die Schlüssel neu verschlüsselt werden müssen und nicht der gesamte Inhalt.

Für Anwender, die mobile Geräte verwenden, wird der Verschlüsselungsalgorithmus AES-256 verwendet, um Dateien zu verschlüsseln, bevor sie auf einem mobilen Gerät gespeichert werden. Der Verschlüsselungscode wird an den Server gesendet und mit Hilfe des Keychain/Keystore-Wrappers auch auf dem lokalen Gerät gespeichert.

Kiteworks ist FIPS (Federal Information Processing Standard) 140-2-konform. Das bedeutet, das die Anwendung der AES-256-Verschlüsselung obligatorisch ist. FIPS 140-2 Level 1 deckt die digitale Verschlüsselung von E-Mails und Dateifreigaben ab, sowohl für den Einsatz vor Ort als auch für gehostete Lösungen. Nur authentifizierte Benutzer und solche, denen Zugang gewährt wurde, können sensible Inhalte lesen und ändern, wenn diese im Ruhezustand sind. Kiteworks E-Mail Protection Gateway verwaltet die Schlüssel automatisch und verschlüsselt E-Mails anhand automatisierter Richtlinien. Ein privater Entschlüsselungsschlüssel verbleibt auf dem empfangenden Client und verhindert, dass serverseitige Anbieter und Angreifer ihn entschlüsseln können. Gleichzeitig bestimmen zentralisierte Richtlinien, ob sensible E-Mails verschlüsselt werden sollen.

Wenn Sie mehr über den Kiteworks-Ansatz zur Verschlüsselung von sensiblen Inhalten über verschiedene Kommunikationskanäle – E-Mail, File-Sharing, Managed File Transfer, und Application Programming Interfaces (APIs) – erfahren möchten, vereinbaren Sie einen Termin für eine individuelle, auf Ihre Umgebung zugeschnittene Demo.

Weitere Informationen

ABONNIEREN

Melden Sie sich an, um regelmäßige Updates und Neuigkeiten von Kiteworks zu erhalten.



Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Teilen
Twittern
Teilen
Get A Demo