AES-256-Verschlüsselung erklärt: Was das für deine Daten bedeutet
AES-256 erklärt: wie der Algorithmus funktioniert, warum 256-Bit-Schlüssel wichtig sind, was der GCM-Modus hinzufügt und worauf du achten solltest, wenn eine App AES-256 bewirbt.
AES-256 ist der Advanced Encryption Standard mit einem 256-Bit-Schlüssel, von NIST als FIPS 197 im Jahr 2001 standardisiert. Es ist der symmetrische Verschlüsselungsalgorithmus, den die US-Regierung für verschlüsselte Informationen, Banken für Finanztransaktionen und sicherheitsorientierte Anwendungen zum Schutz ruhender und übertragener Daten verwenden. AES-256 hat 2^256 mögliche Schlüssel – eine Zahl, die größer ist als die geschätzte Anzahl von Atomen im beobachtbaren Universum. Kein bekannter Angriff reduziert diesen Schlüsselraum auf eine rechnerisch machbare Suche.
Diese Anleitung erklärt, was AES-256 tatsächlich tut, warum die Schlüsselgröße wichtig ist, was die verschiedenen Modi bedeuten (ECB, CBC, GCM) und worauf du achten solltest, wenn eine App behauptet, AES-256-Verschlüsselung zu verwenden.
Was AES tatsächlich tut
AES ist eine symmetrische Blockchiffre. „Symmetrisch" bedeutet, dass derselbe Schlüssel ver- und entschlüsselt. „Blockchiffre" bedeutet, dass Daten in Blöcken fester Größe von 128 Bit (16 Byte) verarbeitet werden.
Der Algorithmus nimmt deine Daten (Klartext), kombiniert sie mit einem Schlüssel und erzeugt durch eine Reihe mathematischer Transformationen eine verschlüsselte Ausgabe (Chiffretext). Diese Transformationen – Substitution, Verschiebung, Mischung und Schlüsseladdition – wiederholen sich für eine feste Anzahl von Runden. AES-256 verwendet 14 Runden.
Jede Runde wendet vier Operationen an:
- SubBytes: Jedes Byte wird durch eine feste Substitutionstabelle (S-Box) ersetzt, was Nichtlinearität einführt.
- ShiftRows: Bytes in jeder Zeile werden um unterschiedliche Versätze verschoben, sodass Daten über Positionen verteilt werden.
- MixColumns: Spalten werden durch Matrixmultiplikation in einem endlichen Feld gemischt, wodurch Änderungen über Bytes hinweg gestreut werden.
- AddRoundKey: Der Rundenschlüssel (abgeleitet vom Hauptschlüssel) wird mit den Daten per XOR verknüpft.
Nach 14 Runden ist der Klartext gründlich verschlüsselt. Durch Umkehren dieser Operationen mit dem richtigen Schlüssel werden die Originaldaten wiederhergestellt. Ohne den Schlüssel ist der Chiffretext von zufälligem Rauschen nicht zu unterscheiden.
Warum 256 Bit wichtig sind
Die „256" in AES-256 bezieht sich auf die Schlüssellänge: 256 Bit. Dies bestimmt die Anzahl der möglichen Schlüssel, die ein Angreifer ausprobieren muss, um die Verschlüsselung durch rohe Gewalt zu brechen.
| Schlüsselgröße | Mögliche Schlüssel | Zeit für Brute-Force (1 Billion Versuche/Sek.) |
|---|---|---|
| 56-Bit (DES) | 7,2 × 10^16 | ~20 Stunden |
| 128-Bit (AES-128) | 3,4 × 10^38 | 10^13 Jahre (10 Billionen Jahre) |
| 256-Bit (AES-256) | 1,16 × 10^77 | 10^51 Jahre |
Zum Vergleich: Das Universum ist ungefähr 1,38 × 10^10 Jahre alt. AES-256 durch Brute-Force zu knacken würde ungefähr 10^41 Mal länger dauern als das Alter des Universums – selbst bei einer Billion Versuche pro Sekunde.
AES-128 ist bereits rechnerisch nicht durch Brute-Force zu knacken. AES-256 bietet eine zusätzliche Reserve gegen künftige Rechenfortschritte, einschließlich Quantencomputing. Grovers Algorithmus (ein Quantenangriff) halbiert effektiv die Schlüssellänge – und reduziert AES-256 auf das Äquivalent von AES-128, was immer noch nicht machbar ist. AES-128 würde auf eine effektive 64-Bit-Sicherheit reduziert, was potenziell anfällig ist. Deshalb bevorzugen sicherheitskritische Anwendungen AES-256.
AES-Modi: Warum sie wichtig sind
AES allein verschlüsselt jeweils nur einen 128-Bit-Block. Für echte Daten (Fotos, Dokumente, Videos) braucht man einen „Betriebsmodus", der Daten größer als 16 Byte verarbeitet. Der Modus bestimmt, wie Blöcke miteinander verknüpft werden, und hat erhebliche Sicherheitsimplikationen.
ECB (Electronic Codebook) – Nicht verwenden
Jeder Block wird unabhängig mit demselben Schlüssel verschlüsselt. Identische Klartextblöcke erzeugen identische Chiffretextblöcke. Das verrät Muster in den Daten. Die klassische Demonstration: Das Verschlüsseln eines Bitmap-Bildes mit ECB bewahrt die Bildstruktur im Chiffretext, sodass der Inhalt erkennbar bleibt. ECB ist im Standard enthalten, sollte aber niemals für Daten mit Struktur oder Wiederholungsmustern verwendet werden (was praktisch alle realen Daten umfasst).
CBC (Cipher Block Chaining) – Veraltet
Jeder Block wird vor der Verschlüsselung per XOR mit dem vorherigen Chiffretextblock verknüpft. Dies eliminiert das Musterleck von ECB. CBC war jahrzehntelang der Standardmodus, wurde aber für die meisten Anwendungen durch GCM abgelöst. CBC erfordert einen zufälligen Initialisierungsvektor (IV) und bietet keine eingebaute Authentifizierung (es lässt sich nicht erkennen, ob der Chiffretext manipuliert wurde).
GCM (Galois/Counter Mode) – Aktueller Standard
GCM kombiniert Counter-Modus-Verschlüsselung mit Galois-Feld-Authentifizierung. Es bietet authentifizierte Verschlüsselung: Es verschlüsselt die Daten UND erzeugt einen Authentifizierungs-Tag, der jede Änderung des Chiffretexts erkennt. Wenn ein einziges Bit geändert wird, schlägt die Entschlüsselung fehl, anstatt beschädigten Klartext zu liefern.
NIST hat GCM in SP 800-38D (2007) standardisiert. Es ist der empfohlene Modus für neue Implementierungen.
AES-256-GCM ist AES mit einem 256-Bit-Schlüssel im Galois/Counter-Modus. Das ist es, was sicherheitskritische Anwendungen verwenden sollten und was Vaultaire für die Verschlüsselung von Foto- und Dateiinhalten verwendet.
| Modus | Musterleck | Authentifizierung | Aktuelle Empfehlung |
|---|---|---|---|
| ECB | Ja (schwerwiegend) | Nein | Nicht verwenden |
| CBC | Nein | Nein (separater MAC erforderlich) | Veraltet; akzeptabel mit HMAC |
| GCM | Nein | Ja (eingebaut) | Empfohlen für neue Implementierungen |
Was AES-256 für die Fotospeicherung bedeutet
Wenn eine Foto-Tresor-App „AES-256-Verschlüsselung" behauptet, sollten drei Dinge zutreffen:
Der Dateiinhalt ist mit AES-256 verschlüsselt. Die rohen Fotodaten (Pixel, Metadaten, Vorschaubilder) werden mit einem 256-Bit-Schlüssel in Chiffretext umgewandelt.
Jede Datei verwendet einen eindeutigen Initialisierungsvektor (IV). Wenn zwei identische Fotos mit demselben Schlüssel verschlüsselt werden, sollte der Chiffretext unterschiedlich sein. Das erfordert einen eindeutigen IV pro Datei. Ohne diesen kann statistische Analyse Muster offenbaren.
Der Modus bietet Authentifizierung (GCM oder gleichwertig). Ohne Authentifizierung könnte ein Angreifer den Chiffretext unbemerkt ändern. Das entschlüsselte Ergebnis wären beschädigte Daten anstatt einer Fehlermeldung.
Was „AES-256" auf einer Marketingseite nicht verrät
AES-256 ist notwendig, aber nicht ausreichend. Mehrere kritische Faktoren bestimmen, ob die Verschlüsselung deine Daten tatsächlich schützt:
Schlüsselableitung ist entscheidend. Wie wird der 256-Bit-Schlüssel erzeugt? Wenn er aus einer 4-stelligen PIN mit einer schwachen KDF abgeleitet wird, ist die effektive Sicherheit 4 Stellen (10.000 Kombinationen), nicht 256 Bit. Eine starke Implementierung verwendet PBKDF2 mit hoher Iterationsanzahl oder Argon2 mit geeigneten Speicher-/Zeitparametern. Vaultaire verwendet PBKDF2 mit HMAC-SHA512, wobei der Schlüssel aus einem Muster auf einem 5×5-Raster mit Milliarden möglicher Eingaben abgeleitet wird.
Schlüsselspeicherung ist entscheidend. Wo befindet sich der Schlüssel? Wenn er im Klartext in der App-Sandbox gespeichert wird, kann jede Schadsoftware mit Dateizugriff ihn lesen. Ordnungsgemäße Schlüsselspeicherung verwendet hardwaregestützte Mechanismen wie Apples Secure Enclave, wo Schlüssel in einem dedizierten Coprozessor mit eigenem verschlüsselten Speicher existieren.
Was verschlüsselt wird, ist entscheidend. Einige Apps verschlüsseln Dateiinhalte, lassen aber Dateinamen, Vorschaubilder und Metadaten unverschlüsselt. Ein Forensiker sieht vielleicht nicht dein Foto, aber er sieht „urlaub-strand-2025.jpg" in der Dateiliste. Umfassende Verschlüsselung deckt Metadaten separat ab.
Der Schlüssel-Lebenszyklus ist entscheidend. Wird der Schlüssel beim Schließen der App aus dem Speicher gelöscht? Wenn der Schlüssel im Speicher verbleibt, könnte ein Speicher-Dump ihn extrahieren. Vaultaire löscht Schlüssel bei jedem App-Schließen aus dem Speicher und erfordert bei jedem Start eine neue Mustereingabe.
AES-256 in der Praxis: Wer es verwendet
| Entität | Anwendungsfall | Modus |
|---|---|---|
| US-Regierung (NSA) | Verschlüsselte Informationen | GCM (oder CTR mit separater Authentifizierung) |
| Apple (iCloud ADP) | iCloud Ende-zu-Ende-Verschlüsselung | GCM |
| Signal | Nachrichtenverschlüsselung | CBC (mit HMAC zur Authentifizierung) |
| Banken | Finanztransaktionsverschlüsselung | GCM |
| 1Password | Passwort-Tresor | GCM |
| Vaultaire | Foto- und Dateitresor | GCM |
| VeraCrypt | Festplattenverschlüsselung | XTS (optimiert für Festplattenblöcke) |
Häufige Missverständnisse
„Militärische Verschlüsselung" bedeutet nichts Konkretes. Marketingseiten verwenden diesen Begriff, weil er beeindruckend klingt. AES-256 wird von Streitkräften verwendet. Genau wie AES-128. Der Begriff sagt nichts über den Modus, die Schlüsselableitung, die Schlüsselspeicherung oder welche Daten tatsächlich verschlüsselt werden.
„256-Bit-Verschlüsselung" bedeutet nicht unbedingt AES-256. Andere Algorithmen verwenden ebenfalls 256-Bit-Schlüssel (ChaCha20, Twofish, Serpent). Prüfe, welcher Algorithmus angegeben ist. AES-256-GCM ist der aktuelle Standard.
AES-256 schützt nicht gegen schwache Passwörter. Wenn dein Passwort „1234" ist und die Schlüsselableitung schwach ist, ist die Verschlüsselung effektiv 4-stellig sicher – unabhängig von der Stärke des Algorithmus. Die Kette bricht an ihrem schwächsten Glied.
AES-256 schützt keine Daten während der Nutzung. Wenn du ein Foto ansiehst, muss es im Speicher entschlüsselt werden. In diesem Moment existiert es im Klartext im RAM. Ordnungsgemäße Implementierungen minimieren dieses Fenster und löschen entschlüsselte Daten umgehend.
Häufig gestellte Fragen
Kann AES-256 geknackt werden?
Es ist kein Angriff bekannt, der AES-256 durch Reduzierung des gesamten Schlüsselraums knackt. Der beste bekannte Angriff (ein Biclique-Angriff von Bogdanov, Khovratovich und Rechberger, 2011) reduziert AES-256 von 2^256 auf 2^254,4 Operationen – eine theoretische Verbesserung, die in der Praxis rechnerisch bedeutungslos ist. AES-256 bleibt ungebrochen.
Ist AES-256 quantenresistent?
Im Wesentlichen ja. Grovers Quantenalgorithmus halbiert die effektive Schlüssellänge: AES-256 wird gegen Quantenangriffe einer 128-Bit-Sicherheit äquivalent. AES-128 würde auf eine effektive 64-Bit-Sicherheit reduziert, was potenziell anfällig ist. NIST empfiehlt AES-256 für langfristige Sicherheit gegen Quantencomputing-Fortschritte.
Was ist der Unterschied zwischen AES-128 und AES-256?
AES-128 verwendet einen 128-Bit-Schlüssel (10 Runden). AES-256 verwendet einen 256-Bit-Schlüssel (14 Runden). Beide gelten gegen aktuelle Angriffe als sicher. AES-256 bietet eine größere Reserve gegen künftige Fortschritte, insbesondere im Bereich Quantencomputing. AES-256 ist aufgrund der zusätzlichen Runden etwa 40 % langsamer als AES-128, aber Hardware-Beschleunigung macht dies auf modernen Geräten vernachlässigbar.
Verlangsamt AES-256-Verschlüsselung mein iPhone?
Nicht wahrnehmbar. Moderne iPhones verfügen über dedizierte AES-Hardware-Beschleunigung in der Secure Enclave und im Prozessor. Das Verschlüsseln oder Entschlüsseln eines Fotos dauert Millisekunden. AES ist speziell für effiziente Hardware-Implementierung ausgelegt.
Wie erkenne ich, ob eine App wirklich AES-256 verwendet?
Prüfe die Sicherheitsdokumentation der App, nicht nur die Marketingseite. Achte auf: spezifischen Algorithmus und Modus (AES-256-GCM, nicht nur „AES" oder „256-Bit"), Schlüsselableitungsmethode (PBKDF2, Argon2), Schlüsselspeichermechanismus (Secure Enclave, hardwaregestützt) und ob Metadaten ebenfalls verschlüsselt werden. Open-Source-Apps ermöglichen unabhängige Überprüfung.
Fazit
AES-256 ist der Goldstandard für symmetrische Verschlüsselung, von NIST standardisiert, von Regierungen und Finanzinstituten verwendet und gegen alle bekannten Angriffe einschließlich Quantencomputing resistent. Wenn du Apps bewertest, die AES-256-Verschlüsselung behaupten, schaue über den Algorithmus hinaus: Prüfe den Modus (GCM), die Schlüsselableitung (PBKDF2/Argon2 mit hoher Iterationsanzahl), die Schlüsselspeicherung (hardwaregestützt) und welche Daten tatsächlich verschlüsselt werden (Inhalte + Metadaten).
Vaultaire verwendet AES-256-GCM für die Dateiverschlüsselung, PBKDF2 mit HMAC-SHA512 für die Schlüsselableitung, ChaCha20 für die Metadatenverschlüsselung und Apple Secure Enclave für die Schlüsselverwaltung. Die Verschlüsselung ist keine Marketingsprache. Es ist Mathematik.