AES-Verschlüsselung: Einst Spionage-Abwehr, heute unverzichtbarer Schutz für alle

Der Verschlüsselungsstandard AES wird in den USA für Dokumente mit höchster Geheimhaltungsstufe genutzt, findet sich aber ebenso in vielen alltäglichen Anwendungen. Ungewöhnlich ist dabei, wie es zu diesem Standard kam. Wir zeichnen die Entstehungsgeschichte hier nach.

Wenn Sie sich mit einem abgesicherten WLAN verbinden, Skype nutzen oder die Daten auf Ihrem Rechner mit Apples «FileVault» oder dem Windows-Dateisystem EFS schützen, dann nutzen Sie den Verschlüsselungsstandard AES («Advanced Encryption Standard»). Aber hätten Sie gewusst, dass er auf zwei Sicherheitsexperten aus Belgien zurückgeht?

Das Ende des Vorläufers DES

Wie dieses neue Verschlüsselungssystem gefunden wurde, gilt in Fachkreisen als mustergültig. Ausgangspunkt war, dass das bis dato vorherrschende DES («Data Encryption Standard») Anfang der 90er als nicht mehr sicher genug angesehen wurde. Dieser Standard war fast 20 Jahre zuvor entstanden, weil damals zwar das Militär bereits gute Verschlüsselungstechniken hatte, aber nicht die Allgemeinheit.

DES wurde zunächst Ende der 70er für Behörden und schliesslich Anfang der 80er für Unternehmen zum anerkannten Standard. Hartnäckig hielten sich Gerüchte, die US-amerikanische Sicherheitsbehörde NSA habe sich eine Hintertür eingebaut – was sich später als nicht korrekt herausstellte.

Allerdings war so eine absichtliche und versteckt eingebaute Schwachstelle wohl auch gar nicht notwendig: Die grösste Schwäche von DES war, dass die Verschlüsselung knackbar war, wenn man nur genug Rechenkraft aufwendete. Denn der Schlüssel war mit 56 Bit vergleichsweise kurz und er liess sich im Zuge einer «Brute Force»-Attacke durch automatisierten Versuch und Irrtum erraten. Die NSA hatte die dafür notwendige Rechenpower sehr wahrscheinlich bereits lange vor anderen.

Die exponentiell steigenden Rechenkapazitäten läuteten deshalb auch das Ende von DES ein. 1998 demonstrierte die US-amerikanische Electronic Frontier Foundation (EFF) mit einem eigens gebauten Rechner namens «Deep Crack», dass Sie DES innerhalb von 56 Stunden knacken konnte. 1999 schaffte es dieselbe Maschine im Konzert mit 100’000 verteilten Rechnern dann in nur noch 22 Stunden und 15 Minuten.

Ein Ausweg war, DES nicht nur einmal, sondern dreimal mit unterschiedlichen Schlüsseln anzuwenden («Triple-DES» oder auch «3DES» genannt). Ende der 90er war zudem der Nachfolger AES auf dem Weg.

Wie AES in aller Öffentlichkeit entstand

Das US-amerikanische Handelsministerium hatte die Suche nach einem neuen Standard angestossen. Das National Institute of Standards and Technology (NIST) übernahm die Federführung.

Während es rund um die Entwicklung von DES allerlei Geheimniskrämerei gegeben hatte, entschieden sich die Macher beim Nachfolger AES für das Gegenteil: Alles fand in der Öffentlichkeit statt. So gab es einen Wettbewerb um den besten Verschlüsselungs-Algorithmus, für den bis zum Stichtag im Juni 1998 15 Kandidaten eingereicht wurden.

Das wichtigste Entscheidungs-Kriterium war natürlich die Sicherheit des potenziellen neuen Standards. Er sollte bis weit ins nächste Jahrhundert einsetzbar bleiben. Aber darüber hinaus war es wichtig, dass die neue Methode wenig Kosten verursachte und zum Beispiel sparsam mit Rechenkraft und Speicherplatz umging. Schliesslich war geplant, ihn sogar auf Chipkarten einzusetzen. Zudem musste der Standard frei von Lizenzzahlungen sein, damit er unentgeltlich allen zur Verfügung stehen konnte.

Aus den ersten Vorschlägen wurden fünf Finalisten ausgesucht, die allesamt sehr ähnliche Eigenschaften hatten. Deshalb wurden weitere Kriterien herangezogen und die Kandidaten intensiv auf Schwachstellen untersucht.

Der belgische Algorithmus «Rijndael» ging im Oktober 2000 schliesslich als Sieger hervor. Benannt ist er nach seinen Entwicklern Joan Daemen und Vincent Rijmen. So mancher in den USA war zunächst wohl nicht glücklich damit, eine europäische Entwicklung nutzen zu müssen. Die Einfachheit und Leistungsfähigkeit des Algorithmus überzeugten aber auch die Skeptiker.

AES wird heute mit Schlüssellängen von 128, 192 oder 256 Bit eingesetzt. In den USA werden 192 Bit als ausreichend für Dokumente mit dem Siegel «geheim» angesehen und 256 Bit für «streng geheim».

Schlusswort

Bislang hat sich AES gut gegen alle Angriffsversuche geschlagen. So gibt es zwar inzwischen theoretische Schwachpunkte, die sich aber in der Praxis kaum ausnutzen lassen, weil der Aufwand weiterhin enorm ist. Oftmals wird deshalb eher versucht, eine Schwäche in der Implementierung zu finden.

Bis in alle Ewigkeit wird natürlich auch AES nicht sicher genug bleiben. Dennoch gilt wie oben bereits erwähnt, dass US-Behörden ebenfalls weiterhin auf AES setzen – selbst für Dokumente mit höchster Geheimhaltungsstufe.