AES-256-kryptering förklarad: Vad det betyder för dina data
AES-256 förklarat: hur chiffret fungerar, varför 256-bitarsnycklar spelar roll, vad GCM-läget tillför och vad du bör kontrollera när en app påstår sig använda AES-256-kryptering.
AES-256 är Advanced Encryption Standard med en 256-bitarsnyckel, standardiserad av NIST som FIPS 197 år 2001. Det är den symmetriska krypteringsalgoritm som används av den amerikanska regeringen för sekretessbelagd information, av banker för finansiella transaktioner och av säkerhetsfokuserade applikationer för att skydda data i vila och under överföring. AES-256 har 2^256 möjliga nycklar – ett tal som är större än det uppskattade antalet atomer i det observerbara universum. Inget känt angrepp reducerar detta nyckelutrymme till en beräkningsmässigt genomförbar sökning.
Den här guiden förklarar vad AES-256 faktiskt gör, varför nyckelstorleken spelar roll, vad de olika lägena innebär (ECB, CBC, GCM) och vad du bör leta efter när en app påstår sig använda AES-256-kryptering.
Vad AES faktiskt gör
AES är ett symmetriskt blockchiffer. "Symmetriskt" innebär att samma nyckel krypterar och dekrypterar. "Blockchiffer" innebär att det bearbetar data i block av fast storlek på 128 bitar (16 byte).
Algoritmen tar dina data (klartext), kombinerar dem med en nyckel och producerar krypterat utdata (chiffertext) genom en serie matematiska transformationer. Dessa transformationer – substitution, skiftning, blandning och nyckeladdition – upprepas under ett fast antal rundor. AES-256 använder 14 rundor.
Varje runda tillämpar fyra operationer:
- SubBytes: Varje byte ersätts med hjälp av en fast substitutionstabel (S-box), vilket introducerar icke-linjäritet.
- ShiftRows: Byte i varje rad skiftas med olika förskjutningar, vilket sprider data över positioner.
- MixColumns: Kolumner blandas genom matrismultiplikation i ett ändligt fält, vilket sprider förändringar över byte.
- AddRoundKey: Rundnyckeln (härledd från huvudnyckeln) XOR:as med data.
Efter 14 rundor är klartexten grundligt blandad. Att vända dessa operationer med rätt nyckel återställer originaldata. Utan nyckeln är chiffertexten omöjlig att skilja från slumpmässigt brus.
Varför 256 bitar spelar roll
"256" i AES-256 avser nyckellängden: 256 bitar. Detta avgör antalet möjliga nycklar som en angripare måste prova för att knäcka krypteringen med brute force.
| Nyckelstorlek | Möjliga nycklar | Tid för brute-force (1 biljon gissningar/sek) |
|---|---|---|
| 56-bit (DES) | 7,2 x 10^16 | ~20 timmar |
| 128-bit (AES-128) | 3,4 x 10^38 | 10^13 år (10 biljoner år) |
| 256-bit (AES-256) | 1,16 x 10^77 | 10^51 år |
För att sätta det i sammanhang: universum är ungefär 1,38 x 10^10 år gammalt. Att brute-force AES-256 skulle ta ungefär 10^41 gånger längre tid än universums ålder, även med en biljon gissningar per sekund.
AES-128 är redan beräkningsmässigt omöjlig att brute-force. AES-256 ger en ytterligare marginal mot framtida framsteg inom databeräkning, inklusive kvantdatorer. Grovers algoritm (ett kvantdatorangrepp) halverar effektivt nyckellängden – vilket reducerar AES-256 till motsvarigheten av AES-128, som fortfarande är ogörbar. AES-128 skulle reduceras till 64-bitars effektiv säkerhet, vilket är potentiellt sårbart. Det är därför säkerhetskritiska applikationer föredrar AES-256.
AES-lägen: varför de spelar roll
AES ensamt krypterar bara ett 128-bitars block åt gången. För riktiga data (foton, dokument, videor) behöver du ett "driftsläge" som hanterar data som är större än 16 byte. Läget avgör hur block länkas samman och har stor säkerhetspåverkan.
ECB (Electronic Codebook) – Använd inte
Varje block krypteras oberoende med samma nyckel. Identiska klartextblock producerar identiska chiffertextblock. Detta läcker mönster i data. Det klassiska exemplet: kryptering av en bitmappsbild med ECB bevarar bildens struktur i chiffertexten, vilket gör innehållet igenkännbart. ECB ingår i standarden men bör aldrig användas för data som har struktur eller upprepade mönster (vilket inkluderar praktiskt taget alla verkliga data).
CBC (Cipher Block Chaining) – Föråldrat
Varje block XOR:as med det föregående chiffertextblocket innan kryptering. Detta eliminerar mönsterläckan hos ECB. CBC var standardläget i decennier men har ersatts av GCM för de flesta tillämpningar. CBC kräver en slumpmässig initialiseringsvektor (IV) och ger inte inbyggd autentisering (du kan inte upptäcka om chiffertexten har manipulerats).
GCM (Galois/Counter Mode) – Nuvarande standard
GCM kombinerar kounterläges-kryptering med Galoisfältsautentisering. Det erbjuder autentiserad kryptering: det krypterar data OCH producerar en autentiseringstagg som upptäcker all modifiering av chiffertexten. Om en enda bit ändras misslyckas dekrypteringen istället för att producera skadad klartext.
NIST standardiserade GCM i SP 800-38D (2007). Det är det rekommenderade läget för nya implementeringar.
AES-256-GCM är AES med en 256-bitarsnyckel i Galois/Counter Mode. Det är vad säkerhetskritiska applikationer bör använda och vad Vaultaire använder för att kryptera foto- och filinnehåll.
| Läge | Mönsterläcka | Autentisering | Nuvarande rekommendation |
|---|---|---|---|
| ECB | Ja (allvarlig) | Nej | Använd inte |
| CBC | Nej | Nej (kräver separat MAC) | Föråldrat; acceptabelt med HMAC |
| GCM | Nej | Ja (inbyggd) | Rekommenderat för nya implementeringar |
Vad AES-256 betyder för fotolagring
När en fotovalv-app hävdar "AES-256-kryptering" bör tre saker gälla:
Filinnehållet krypteras med AES-256. Rå fotodata (pixlar, metadata, miniatyr) omvandlas till chiffertext med en 256-bitarsnyckel.
Varje fil använder en unik initialiseringsvektor (IV). Om två identiska foton krypteras med samma nyckel bör chiffertexten vara olika. Detta kräver en unik IV per fil. Utan det kan statistisk analys avslöja mönster.
Läget erbjuder autentisering (GCM eller motsvarande). Utan autentisering kan en angripare modifiera chiffertexten utan att det upptäcks. Det dekrypterade resultatet skulle bli skadade data snarare än ett felmeddelande.
Vad "AES-256" på en marknadsföringssida inte berättar för dig
AES-256 är nödvändigt men inte tillräckligt. Flera kritiska faktorer avgör om krypteringen faktiskt skyddar dina data:
Nyckelhärledning spelar roll. Hur genereras 256-bitarsnyckeln? Om den härleds från en 4-siffrig PIN med en svag KDF är den effektiva säkerheten 4 siffror (10 000 kombinationer), inte 256 bitar. En stark implementering använder PBKDF2 med högt iterationsantal eller Argon2 med lämpliga minnes-/tidsparametrar. Vaultaire använder PBKDF2 med HMAC-SHA512, och härleder nyckeln från ett mönster på ett 5x5-rutnät med miljarder möjliga indata.
Nyckellagring spelar roll. Var finns nyckeln? Om nyckeln lagras i klartext i appens sandlåda kan skadlig kod med filåtkomst läsa den. Korrekt nyckellagring använder hårdvarubaserade mekanismer som Apples Secure Enclave, där nycklar finns i en dedikerad medprocessor med eget krypterat minne.
Vad som krypteras spelar roll. Vissa appar krypterar filinnehållet men lämnar filnamn, miniatyrbilder och metadata okrypterade. En rättsmedicinsk undersökare kanske inte ser ditt foto, men kan se "semester-strand-2025.jpg" i fillistan. Heltäckande kryptering täcker metadata separat.
Nyckelns livscykel spelar roll. Raderas nyckeln från minnet när appen stängs? Om nyckeln kvarstår i minnet kan en minnesdump extrahera den. Vaultaire raderar nycklar från minnet vid varje appstängning och kräver nytt mönsterinmatning vid varje start.
AES-256 i praktiken: vem använder det
| Enhet | Användningsfall | Läge |
|---|---|---|
| USA:s regering (NSA) | Sekretessbelagd information | GCM (eller CTR med separat autentisering) |
| Apple (iCloud ADP) | iCloud end-to-end-kryptering | GCM |
| Signal | Meddelandekryptering | CBC (med HMAC för autentisering) |
| Banker | Kryptering av finansiella transaktioner | GCM |
| 1Password | Lösenordsvalv | GCM |
| Vaultaire | Foto- och filvalv | GCM |
| VeraCrypt | Diskkryptering | XTS (optimerat för diskblock) |
Vanliga missuppfattningar
"Militärklassad kryptering" betyder ingenting specifikt. Marknadsföringssidor använder denna fras för att det låter imponerande. AES-256 används av militärer. Detsamma gäller AES-128. Frasen berättar inte om läge, nyckelhärledning, nyckellagring eller vad som faktiskt krypteras.
"256-bitars kryptering" kanske inte betyder AES-256. Andra chiffer använder också 256-bitarsnycklar (ChaCha20, Twofish, Serpent). Kontrollera vilket algoritm som anges. AES-256-GCM är den nuvarande standarden.
AES-256 skyddar inte mot ett svagt lösenord. Om ditt lösenord är "1234" och nyckelhärledningen är svag är krypteringen effektivt 4-siffrig säkerhet oavsett chifferstyrkan. Kedjan brister vid den svagaste länken.
AES-256 skyddar inte data i användning. När du visar ett foto måste det dekrypteras i minnet. I det ögonblicket finns det som klartext i RAM. Korrekta implementeringar minimerar detta fönster och raderar dekrypterade data omgående.
Vanliga frågor
Kan AES-256 knäckas?
Inget känt angrepp knäcker AES-256 genom att reducera det fullständiga nyckelutrymmet. Det bästa kända angreppet (ett biclique-angrepp av Bogdanov, Khovratovich och Rechberger, 2011) reducerar AES-256 från 2^256 operationer till 2^254,4 – en teoretisk förbättring som i praktiken är beräkningsmässigt meningslös. AES-256 förblir oknäckt.
Är AES-256 kvantresistent?
I hög grad ja. Grovers kvantalgoritm halverar den effektiva nyckellängden: AES-256 blir motsvarigheten till 128-bitars säkerhet mot kvantangrepp. AES-128 skulle reduceras till 64-bitars effektiv säkerhet, vilket är potentiellt sårbart. NIST rekommenderar AES-256 för långsiktig säkerhet mot framsteg inom kvantdatorer.
Vad är skillnaden mellan AES-128 och AES-256?
AES-128 använder en 128-bitarsnyckel (10 rundor). AES-256 använder en 256-bitarsnyckel (14 rundor). Båda anses säkra mot nuvarande angrepp. AES-256 ger en större marginal mot framtida framsteg, särskilt kvantdatorer. AES-256 är ungefär 40 % långsammare än AES-128 på grund av de extra rundorna, men hårdvaruacceleration gör detta försumbart på moderna enheter.
Saktar AES-256-kryptering ner min telefon?
Inte märkbart. Moderna iPhones innehåller dedikerad AES-hårdvaruacceleration i Secure Enclave och processorn. Att kryptera eller dekryptera ett foto tar millisekunder. AES är specifikt utformat för effektivitet i hårdvaruimplementering.
Hur vet jag om en app verkligen använder AES-256?
Kontrollera appens säkerhetsdokumentation, inte bara dess marknadsföringssida. Leta efter: specifik algoritm och läge (AES-256-GCM, inte bara "AES" eller "256-bit"), nyckelhärledningsmetod (PBKDF2, Argon2), nyckellagringsmekanism (Secure Enclave, hårdvarubaserad) och om metadata också krypteras. Öppen källkod möjliggör oberoende verifiering.
Sammanfattning
AES-256 är guldstandarden för symmetrisk kryptering, standardiserad av NIST, används av regeringar och finansinstitutioner och är motståndskraftig mot alla kända angrepp inklusive kvantdatorer. När du utvärderar appar som påstår sig använda AES-256-kryptering, titta bortom chiffret: kontrollera läget (GCM), nyckelhärledningen (PBKDF2/Argon2 med högt iterationsantal), nyckellagringen (hårdvarubaserad) och vilka data som faktiskt krypteras (innehåll + metadata).
Vaultaire använder AES-256-GCM för filkryptering, PBKDF2 med HMAC-SHA512 för nyckelhärledning, ChaCha20 för metadatakryptering och Apple Secure Enclave för nyckelhantering. Krypteringen är inte marknadsföringsspråk. Det är matematik.