Advanced Encryption Standard

Bis zum Einsatz von AES war der 1976 festgelegte Data Encryption Standard (DES) der am häufigsten genutzte symmetrische Algorithmus zur Verschlüsselung von Daten. In den 1990er Jahren galt er mit seiner Schlüssellänge von 56 Bit als nicht mehr ausreichend sicher gegen Brute-Force-Angriffe. Zwar kann man mittels einer dreifachen Anwendung von DES, genannt 3DES, die effektive Schlüssellänge auf 112 Bit steigern, jedoch geht dies sehr zu Lasten der Geschwindigkeit.

Das amerikanische Handelsministerium schrieb die Suche nach einem Nachfolgealgorithmus am 2. Januar 1997 international aus, federführend für die Auswahl war das US-amerikanische National Institute of Standards and Technology in Gaithersburg, Maryland. Nach einer internationalen Konferenz am 15. April 1997 veröffentlichte es am 12. September 1997 die endgültige Ausschreibung. Die Art der Suche, sowie die Auswahlkriterien unterschieden sich beträchtlich im Vergleich zur DES-Entwicklung hinter verschlossenen Türen. Der Sieger der Ausschreibung der als Advanced Encryption Standard (AES) festgelegt werden sollte, musste folgende Kriterien erfüllen:

• AES muss ein symmetrischer Algorithmus sein, und zwar eine Blockchiffre.
• AES muss 128 Bit lange Blöcke verwenden (dies wurde erst während der Ausschreibung festgelegt, zu Beginn der Ausschreibung waren auch Blockgrößen von 192 und 256 Bit verlangt, diese wurden nur als mögliche Erweiterungen beibehalten)
• AES muss Schlüssel von 128, 192 und 256 Bit Länge einsetzen können.
• AES soll gleichermaßen leicht in Hard- und Software zu implementieren sein.
• AES soll in Hardware wie Software eine überdurchschnittliche Performance haben.
• AES soll allen bekannten Methoden der Kryptoanalyse widerstehen können, insbesondere Power- und Timing-Attacken.
• Speziell für den Einsatz in Smartcards sollen geringe Ressourcen erforderlich sein (kurze Codelänge, niedriger Speicherbedarf).
• Der Algorithmus muss frei von patentrechtlichen Ansprüchen sein und muss von jedermann unentgeltlich genutzt werden können.

Die Auswahlkriterien wurden in drei Hauptkategorien unterteilt: Sicherheit, Kosten, sowie Algorithmus-und Implementationscharakteristiken. Die Sicherheit war der Wichtigste Faktor in der Evaluation und umfasste die Eigenschaften Widerstandsfähigkeit des Algorithmus gegen Kryptoanalyse, Zufälligkeit des Chiffrats, Stichhaltigkeit der mathematischen Basis, sowie die relative Sicherheit im Vergleich zu den anderen Kandidaten.

Kosten, der nächst wichtige Faktor, ist im Sinne des Auswahlverfahrens als Überbegriff zu verstehen: Dieser umfasste Lizenzierungsansprüche sowie Rechnerische Effizienz auf verschiedenen Platformen und Speicherverbrauch. Da eines der wichtigsten Ziele die das NIST ausgearbeitet hatte die weltweite Verbreitung auf Lizenzfreier Basis war und dass AES von jedermann unentgeltlich genutzt werden kann, wurden öffentliche Kommentare und Anregungen zu Lizenzansprüchen und diesbezügliche potentielle Konflikte spezifisch gesucht.

Die Anforderung der Geschwindigkeit des Algorithmus auf diversen Platformen wurde in drei zusätzlichen Zielen unteteilt:

• Die Rechnerische Geschwindigkeit mit 128-Bit Schlüsseln.
• Die Rechnerische Geschwindigkeit mit 192-Bit und 256-Bit Schlüsseln, sowie die rechnerische Geschwindigkeit verschiedenen Hardwareimplementationen.
  Der Speicherverbrauch und die Grenzen von Softwareimplementationen der Kandidaten waren weitere wichtige Aspekte.
• Das dritte Ziel, die Algorithmus-und Implementationscharakteristiken beihalteten die Flexibiltät, die Eignung für Soft-und Hardwareimplementationen,
  und die Einfachheit des Algorithmus.

Unter Flexibilität verstand man die Eigenschaften, dass AES die Schlüssel- und Blockgrösse über dem Minimum unterstützen musste und, dass er in verschiedenen Typen von Umgebungen, sowie zusätzlich als stream cipher und Hash-Algorithmus sicher und effizient zu implemementieren war.

Die Ausschreibung führte bis zum Abgabeschluss am 15. Juni 1998 zu fünfzehn Vorschlägen aus aller Welt. Diese wurden in der AES-Konferenz vom 20.-22.August 1998 in Ventura, Kalifornien vorgestellt, öffentlich diskutiert und auf die Erfüllung der genannten Kriterien geprüft. Die AES-Konferenz vom 22. und 23. April 1999 in Rom führte zu einer ersten Diskussion der Ergebnisse und Empfehlungen welche der fünfzehn Algorithmen weiter betrachtet werden sollten. Die fünf besten Kandidaten (MARS, RC6, Rijndael, Serpent, Twofish) kamen in die nächste Runde.

Alle fünf Kandidaten erfüllen die oben genannten Forderungen, daher wurden weitere Kriterien hinzugezogen. Es folgte eine Überprüfung der Algorithmen auf theoretische Schwachstellen, durch die der Algorithmus möglicherweise zu einem späteren Zeitpunkt durch technischen Fortschritt unsicher werden kann. So konnten zum damaligen Stand technisch nicht realisierbare Vorgehensweisen in einigen Jahren anwendbar sein, ein solches Risiko sollte minimiert werden. Die Staffelung der Kandidaten nach Ressourcenverbrauch und Performance war eindeutiger. Der Rijndael-Algorithmus hatte sich als Hardware- und Software-Implementierung als überdurchschnittlich schnell herausgestellt, die Anderen Kandidaten haben jeweils in unterschiedlichen Bereichen kleinere Schwächen.

Im Mai des Jahres 2000 wurden die Analysen und öffentlichen Diskussionen abgeschlossen und am 2. Oktober 2000 der Sieger schließlich bekannt gegeben: Der belgische Algorithmus Rijndael. Rijndael überzeugte durch seine Einfachheit (die Referenz-Implementierung umfasst weniger als 500 Zeilen C-Code) und Performance, sodass sich die USA trotz Sicherheitsbedenken für einen europäischen Algorithmus entschieden hat.

Der Auswahlprozess faszinierte weltweit viele Kryptographen insbesondere durch seine offene Gestaltung. Bis heute ist dieser Wettbewerb als sehr vorbildlich angesehen.

Rijndael ist, wie bereits erwähnt, eine Blockchiffre. Bei Rijndael können Blocklänge und Schlüssellänge unabhängig voneinander die Werte 128, 160, 192, 224 oder 256 Bits erhalten, während bei AES die Einschränkung der festgelegten Blockgröße von 128 Bit und der Schlüsselgröße von 128, 192 oder 256 Bit gilt. Jeder Block wird zunächst in eine zweidimensionale Tabelle mit vier Zeilen geschrieben, deren Zellen ein Byte groß sind. Die Anzahl der Spalten variiert somit je nach Blockgröße von 4 (128 Bits) bis 8 (256 Bits). Jeder Block wird nun nacheinander bestimmten Transformationen unterzogen. Aber anstatt jeden Block einmal mit dem Schlüssel zu verschlüsseln, wendet Rijndael verschiedene Teile des erweiterten Originalschlüssels nacheinander auf den Klartext-Block an. Die Anzahl ${\displaystyle r}$  dieser Runden variiert und ist von der Schlüssellänge ${\displaystyle k}$  und Blockgröße ${\displaystyle b}$  abhängig (beim AES also nur von der Schlüssellänge):

Eine Substitutionsbox (S-Box) dient als Basis für eine monoalphabetische Verschlüsselung. Sie ist meist als Array implementiert und gibt an, wie in jeder Runde jedes Byte eines Blocks durch einen anderen Wert zu ersetzen ist. Typischerweise wird die S-Box in Blockchiffren eingesetzt, um die Beziehung zwischen Klar- und Geheimtext zu verwischen (in der kryptologischen Fachsprache "Konfusion" genannt). Die S-Box des AES setzt auch teilweise das Shannon'sche Prinzip der Diffusion um. Die Werte der S-Box und inversen S-Box können dynamisch berechnet werden um Speicher zu sparen oder vorberechnet sein und in einem Array gespeichert werden. Die S-Box besteht aus 256 Bytes, die konstruiert werden indem zunächst jedes Byte außer der Null, aufgefasst als Vertreter des endlichen Körpers F₂8, durch sein multiplikatives Inverses ersetzt wird. Die Konstruktion der S-Box unterliegt Designkriterien die, die Anfälligkeit für die Methoden der linearen und der differentiellen Kryptoanalyse sowie für algebraische Attacken minimieren sollen.

• Schlüsselexpansion
• Vorrunde
  • KeyAddition (Rundenschlüssel[0])
• Verschlüsselungsrunden (wiederhole solange Runde < R)
  • Substitution()
  • ShiftRow()
  • MixColumn()
  • KeyAddition(Rundenschlüssel[runde])
• Schlussrunde
  • Substitution()
  • ShiftRow()
  • KeyAddition(Rundenschlüssel[R])

(Die Schlussrunde zählt auch als Runde, also R = Anzahl Verschlüsselungsrunden + 1 Schlussrunde)

Zunächst muss der Schlüssel in ${\displaystyle R+1}$  Teilschlüssel (auch Rundenschlüssel genannt) aufgeteilt werden. Die Rundenschlüssel müssen die gleiche Länge wie die Blöcke erhalten. Somit muss der Benutzerschlüssel auf die Länge ${\displaystyle b*(R+1)}$  expandiert werden, wobei ${\displaystyle b}$  die Blockgröße angibt. Die Schlüssel werden wieder in zweidimensionalen Tabellen mit vier Zeilen und Zellen der Größe 1 Byte gebildet. Die ersten Spalten der Tabelle werden mit dem Benutzerschlüssel gefüllt. Die weiteren Spalten werden wie folgt rekursiv berechnet: Um die Werte für die Zellen in der nächsten Spalte zu erhalten, wird zunächst das Byte, welches sich in der letzten (je nach Blockgröße: vierten, sechsten oder achten) Spalte befindet und drei Zeilen zurückliegt, durch die S-Box verschlüsselt und anschließend mit dem um eine Schlüssellänge zurückliegenden Byte XOR verknüpft. Befindet sich das zu berechnende Byte an einer Position, die ein ganzzahliger Teiler der Schlüssellänge ist, so wird das berechnete Byte zusätzlich mit einem Eintrag aus der rcon-Tabelle XOR verknüpft. Hierfür wird als Index eine fortlaufende Nummer verwendet. Die rcon-Tabelle ist ähnlich wie die S-Box eine Tabelle in Form eines Arrays, das konstante Werte enthält die auf einem mathematischen Zusammenhang beruhen. Jedes weitere Byte (das sich nicht in der ersten Spalte befindet) wird aus einer XOR-Verknüpfung des vorherigen Bytes (${\displaystyle w_{i-1}}$ ) mit dem Byte einer Schlüssellänge vorher (${\displaystyle w_{i-k/32}}$ ) gebildet.

In der Vorrunde und am Ende jeder weiteren Verschlüsselungsrunde wird die KeyAddition ausgeführt. Hierbei wird eine bitweise XOR-Verknüpfung zwischen dem Block und dem aktuellen Rundenschlüssel vorgenommen. Dies ist die einzige Funktion in AES, die den Algorithmus vom Benutzerschlüssel abhängig macht.

Im ersten Schritt jeder Runde wird für jedes Byte im Block ein Äquivalent in der S-Box gesucht. Somit werden die Daten monoalphabetisch verschlüsselt.

Wie oben erwähnt, liegt ein Block in Form einer zweidimensionalen Tabelle mit vier Zeilen vor. In diesem Schritt werden die Zeilen um eine bestimmte Anzahl von Spalten nach links verschoben. Überlaufende Zellen werden von rechts fortgesetzt. Die Anzahl der Verschiebungen ist zeilen- und blocklängenabhängig:

→ Hauptartikel: Rijndael MixColumns^[2]

Schließlich werden die Spalten vermischt. Es wird zunächst jede Zelle einer Spalte mit einer Konstanten multipliziert und anschließend die Ergebnisse XOR verknüpft. Die Konstante (als Hexadezimal-Wert) wird folgendermaßen bestimmt:

Bei der Entschlüsselung von Daten wird genau rückwärts vorgegangen. Die Daten werden zunächst wieder in zweidimensionale Tabellen gelesen und die Rundenschlüssel generiert. Allerdings wird nun mit der Schlussrunde angefangen und alle Funktionen in jeder Runde in der umgekehrten Reihenfolge aufgerufen. Durch die vielen XOR-Verknüpfungen unterscheiden sich die meisten Funktionen zum Entschlüsseln nicht von denen zum Verschlüsseln. Jedoch muss eine andere S-Box genutzt werden (die sich aus der original S-Box berechnen lässt) und die Zeilenverschiebungen erfolgen in die andere Richtung.

AES wird u. a. vom Verschlüsselungsstandard IEEE 802.11i für Wireless LAN und seinem Wi-Fi-Äquivalent WPA2 sowie bei SSH und bei IPsec genutzt. Auch in der VoIP-Kommunikation kommt AES sowohl in offenen Protokollen wie SRTP oder proprietären Systemen wie Skype^[3] zum Einsatz. Mac OS X benutzt AES als Standardverschlüsselungsmethode für Disk-Images, außerdem verwendet der Dienst FileVault AES. Moderne externe Festplatten verschlüsseln den gesamten Datenzugriff per AES.^[4] Ebenso verwendete die transparente Verschlüsselung EFS in Windows XP ab SP 1 diese Methode. Außerdem wird der Algorithmus zur Verschlüsselung diverser komprimierter Dateiarchive verwendet, z. B. bei 7-Zip und RAR. In PGP und GnuPG findet AES ebenfalls einen großen Anwendungsbereich.

AES gehört zu den vom Projekt NESSIE empfohlenen kryptografischen Algorithmen.

Zum Rinjdael Algorithmus gab es auch kritische Stimmen mancher Kryptographen welche folgenden Punkte betrafen:

• Rinjdael überzeugte im AES-Wettbewerb durch seine mathematisch elegante und einfache Struktur, sowie durch seine Effizienz. Allerdings könnte gerade diese einfache Struktur ein Einfallstor für Angerifstechniken sein.
• Die Rijndael-Variante für 128-bit Schlüssel mit nur 10 Runden wurde von vielen Kryptographen als als zu geringe Sicherheitsmarge empfunden.
• Als weiterer Kritikpunkt galt die einfache algebraische Beschreibung der S-Boxen, die ihrerseits die einzige nichtlineare Komponente der Chiffre sind.
• Die Eigenschaft, dass sich durch den einfachen Key Shedule aus Kenntnis eines beliebigen Rundenschlüssels 128 bit des Verfahrensschlüssels trivial ge­winnen lassen können.

2002 wurde von Courtois and Pieprzyk ein theoretischer Angriff namens XSL („eXtended Sparse Linearization“) gegen Serpent und Rijndael vorgestellt (siehe Serpent). Mit dem XSL-Angriff ist nach Angabe der Autoren eine Komplexität im Bereich von 2²⁰⁰ Operationen erreichbar. XSL ist die Weiterentwicklung einer heuristischen Technik namens XL („eXtended Linearization“), mit der es manchmal gelingt große nichtlineare Gleichungssysteme effizient zu lösen. XL wurde ursprünglich zur Analyse von Public-Key Verfahren entwickelt, der Einsatz im Kontext von symmetrischen Kryptosystemen ist eine Innovation von Courtois und Pieprzyk. Grob kann die Technik und ihre Anwendung auf symmetrische Kryptosysteme wie folgt beschrieben werden:

Die Blockchiffre wird als überspezifiziertes System quadratischer Gleichungen in GF(2) beschrieben. Überspezifiziert bedeutet dass es mehr Gleichungen als Variablen gibt. Variablen und Konstanten können nur die Werte 0 und 1 annehmen. Die Addition entspricht dem logischen eXklusiv-OdeR (XOR), die Multiplikation dem logischen UND. Diese Art von Systemen können typischerweise sehr gross werden, im Falle der 128-Bit AES Varainte wächst das System auf 8.000 quadratische Gleichungen mit 1.600 Variablen. Das Lösen von Systemen quadratischer Gleichungen ist ein NP-Schwer Problem mit verschiendenen Anwendungsfeldern in der Kryptographie.

Kurz vor der Bekanntgabe des AES-Wettbewerbs stellten verschiedene Autoren eine einfache algebraische Darstellung von AES als Kettenbruch vor. Dies könnte für erfolgreiche Angriffe genutzt werden. Hierzu gibt es einen Videovortrag von Niels Ferguson auf der HAL 2001 ^[5].

Im Mai 2005 veröffentlichte Daniel Bernstein einen Artikel über eine unerwartet einfache Timing-Attacke^[6] (eine Art der Seitenkanalattacke) auf den Advanced Encryption Standard.

Die Forscher Alex Biryukov, Dmitry Khovratovich und Ivica Nikolic veröffentlichten Mitte des Jahres 2009 einen Angriff mit verwandtem Schlüssel^[7] auf die AES-Varianten mit 192 und 256 Bit Schlüssellänge. Dabei nutzten sie Schwächen in der Schlüsselexpansion aus und konnten eine Komplexität von 2¹¹⁹ erreichen. Damit ist die AES-Variante mit 256 Bit Schlüssellänge formal schwächer als die Variante mit 128 Bit Schlüssellänge^[8]. Für die Praxis hat dieser Angriff jedoch wenig Relevanz, denn AES bleibt weiterhin berechnungssicher.

• Joan Daemen, Vincent Rijmen: The Design of Rijndael. AES: The Advanced Encryption Standard. ISBN 3-540-42580-2. (Englisch)

• http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf – Offizielle Spezifikation des AES vom NIST (PDF-Datei; 273 kB)
• http://www.cryptosystem.net/aes/ – Angriffe auf die Sicherheit von AES
• http://www.realtec.de/privat/arbeiten.shtml – Ausführlichere deutsche Erklärung des Algorithmus (PDF) und Historie des Auswahlverfahrens
• Beschreibung von Markus Repges der AES-Kandidaten (Finalisten)
• NIST, Report on the Development of the Advanced Encryption Standard (AES), 2. Oktober 2000 (PDF-Datei; 383 kB)
• Flashanimation von AES – AES als Flash erklärt und animiert (Animation by Enrique Zabala / Universität ORT / Montevideo / Uruguay)
• AESPipe – Komfortable Ver-/Entschlüsselung von Datenströmen für die Linuxshell (StdIn nach StdOut)
• AES Artikel – Sehr detaillierte deutsche Erklärung des AES mitsamt Rechenbeispielen und Implementierung in der Programmiersprache C
• Applied Crypto++: Block Ciphers Ein Artikel über Crypto++ auf codeproject.com mit dem Titel "Encrypt Data using Symmetric Encryption with Crypto++"

• Crypto++ Eine vom NIST offiziell genehmigte sehr umfangreiche C++ Open-Source Kryptographie-Bibliothek mit diversen Verschlüsselungs- und Hash-Algorithmen.
• Chris Lomont's Public-Domain Version des AES
• Botan BSD-lizenzierte kryptographische Bibliothek

• Nettle Bibliothek GPL-Lizenz
• Polar SSL GPL-Lizenz
• Eine kompakte AES-256 Implementation OpenBSD Lizenz
• Google Code Public-Domain Byte-orientierte Public-Domain Implementation
• Implementation von Brian Gladman OpenBSD Lizenz
• Implementation von D.J. Bernstein
• Implementation von Philip J. Erdelsky
• Implementation von Hoozi Eine einfache kommentierte Implementation für Anfänger

• "Keep Your Data Secure with the New Advanced Encryption Standard" Eine detaillierte Erklärung mit C#-Implementation von James D. McCaffrey
• In der Version 3.5 des .NET Framework, beinhaltet der System.Security.Cryptography
  namespace je eine komplett gemanagte AES-Implementation und ein gemanagter Wrapper um die CAPI AES-Implementation.
• Bouncy Castle Bilbiothek

• Martin Offenwanger's AES-implementation in Delphi geschrieben, GPL-lizenziert
• Arnaud Bouchez's AES-Implementation in Delphi und i386 Assembler geschrieben
• DCPcrypt: OIS-Certified open source David Barton's Delphi-Implementation, als Teil einer Hash-und Cyphersuite
• TurboPower Lockbox Open Source AES-Implementation.
• SongBeamer, eine Delphi 2010 kompatible Version von TurboPower Lockbox.

• Java Cryptography Extension von Sun Microsystems, integriert in der Java-JRE seit Version 1.4.2
• Bouncy castle (cryptography) Offizielle Bouncy Castle Crypto Library

• tcllib zur Sprache Tcl, ab Version 1.8
• mcrypt zur Sprache PHP
• System.Security.Cryptography C#, .NET
• Crypt::Rijndael Perl
• Delphi Encryption Compendium zur Sprache Delphi
• pidCrypt für JavaScript

1. ↑ Im Rijndael Algorithmus werden Blockgrößen von 128, 160, 192, 224, und 256 Bits unterstützt, im AES Standard wird aber nur eine 128-bit Blockgröße spezifiziert.
2. ↑ CodePlanet.eu: Advanced Encryption Standard (AES) , 17. Februar 2008
3. ↑ Tom Berson: Skype Security Evaluation auf skype.com mit Signatur, 18. Oktober 2005, englisch, PDF
4. ↑ Allround-PC.com: Digittrade Security Festplatte – Datensicherheit mit RFID und AES auf 2,5″, 26. November 2008
5. ↑ ftp://ftp.ccc.de/events/hal2001/video/hal2001_cryptoanalis_of_rijndael_48.mp4
6. ↑ Cache-timing attacks on AES (PDF-Version)
7. ↑ Related-key Cryptanalysis of the Full AES-192 and AES-256 (PDF)
8. ↑ FAQ zum Angriff