Advanced Encryption Standard
Symmetrische Blockchiffre nach NIST FIPS 197, seit 2001 weltweiter Standard für die Verschlüsselung sensibler Daten in TLS, Festplatten, WLAN und VPNs.
Der Advanced Encryption Standard (AES) ist eine symmetrische Blockchiffre, die das US-amerikanische National Institute of Standards and Technology (NIST) im November 2001 als FIPS 197 publizierte. Sieger des fünfjährigen AES-Auswahlverfahrens war der Algorithmus Rijndael der belgischen Kryptografen Joan Daemen und Vincent Rijmen. AES löste den damals 25 Jahre alten DES ab und ist heute das Rückgrat praktisch jeder Transportverschlüsselung, Festplattenverschlüsselung und vieler Authentifizierungsverfahren — von TLS über BitLocker bis hin zu WPA3 und IPsec.
Aufbau und Schlüssellängen
AES arbeitet mit einer festen Blockgröße von 128 Bit und unterstützt drei Schlüssellängen: 128, 192 und 256 Bit. Die Anzahl der internen Runden hängt von der Schlüssellänge ab — zehn Runden bei AES-128, zwölf bei AES-192 und vierzehn bei AES-256. Jede Runde kombiniert die vier Operationen SubBytes (nicht-lineare Substitution über eine S-Box), ShiftRows (zeilenweise Permutation), MixColumns (spaltenweise lineare Diffusion) und AddRoundKey (XOR mit einem aus dem Hauptschlüssel abgeleiteten Rundenschlüssel). Diese Substitution-Permutation-Struktur erzeugt nach wenigen Runden eine vollständige Diffusion über den gesamten Block.
Nach über zwei Jahrzehnten intensiver Kryptanalyse ist kein praktischer Angriff bekannt, der AES schneller bricht als eine erschöpfende Schlüsselsuche. Theoretische Related-Key-Angriffe auf AES-192 und AES-256 reduzieren die Sicherheit minimal, sind für reale Implementierungen aber irrelevant.
Betriebsmodi
Eine Blockchiffre verschlüsselt nur einzelne 128-Bit-Blöcke — für längere Nachrichten braucht es einen Betriebsmodus. Die Wahl des Modus entscheidet in der Praxis darüber, ob eine AES-Implementierung sicher ist oder katastrophale Schwächen aufweist.
| Modus | Eigenschaften | Empfehlung |
|---|---|---|
| ECB | Deterministisch, keine IV, gleiche Blöcke ergeben gleiche Chiffrate | Niemals einsetzen |
| CBC | Verkettung mit IV, kein Integritätsschutz, anfällig für Padding-Oracle | Legacy, nur mit MAC |
| CTR | Counter-Mode, parallelisierbar, kein Integritätsschutz | Nur mit zusätzlichem MAC |
| GCM | AEAD mit integriertem GMAC, parallelisierbar, Standard in TLS 1.3 | Empfohlener Standard |
| XTS | Tweakable Cipher für Block-Storage ohne Längenexpansion | Festplattenverschlüsselung |
ECB ist der berüchtigte Modus aus dem "Tux-Pinguin"-Beispiel und sollte in produktiven Systemen nicht vorkommen. CBC war jahrelang Standard, hat aber durch BEAST, Lucky-13 und diverse Padding-Oracle-Angriffe an Vertrauen verloren. Moderne Protokolle setzen auf AES-GCM, das Verschlüsselung und Authentifizierung in einem Schritt erledigt (Authenticated Encryption with Associated Data, AEAD). Für Festplatten kommt AES-XTS zum Einsatz, weil es Sektoren ohne zusätzlichen Speicherbedarf verschlüsseln kann.
Hardware-Beschleunigung
Seit 2010 enthalten Intel- und AMD-CPUs den Befehlssatz AES-NI (Advanced Encryption Standard New Instructions), der eine AES-Runde in wenigen Taktzyklen ausführt. ARM bietet mit den Cryptographic Extensions ein funktionales Äquivalent. Eine moderne Server-CPU verschlüsselt damit mehrere Gigabyte pro Sekunde und Kern — AES ist in vielen Workloads schneller als der I/O, der die Daten liefert. Diese Beschleunigung ist auch der Grund, warum AES-GCM in TLS 1.3 ChaCha20-Poly1305 in den meisten Server-Szenarien überholt hat, obwohl ChaCha20 auf Hardware ohne AES-Erweiterung schneller wäre.
In der Praxis lohnt es sich zu prüfen, ob virtuelle Maschinen die AES-NI-Befehle tatsächlich durchreichen. Wir finden in Assessments gelegentlich Hypervisor-Konfigurationen, die AES-NI an die Gast-VM nicht exponieren — mit dem Ergebnis, dass eine Software-Fallback-Implementierung läuft und Durchsatz wie CPU-Last deutlich schlechter ausfallen.
Verbreitung in Protokollen und Systemen
AES ist allgegenwärtig. Die Transportverschlüsselung des Web läuft fast vollständig über AES-GCM in TLS 1.2 und 1.3. WPA3 für WLAN setzt verpflichtend auf AES-CCMP-128, in der Enterprise-192-Bit-Variante kommt zusätzlich AES-GCMP-256 zum Einsatz; IPsec kennt AES-GCM und AES-CBC. S/MIME, OpenPGP und Signal verwenden AES für die Nachrichtenverschlüsselung. Bei der Festplattenverschlüsselung dominiert AES-XTS — eingesetzt in BitLocker unter Windows, LUKS unter Linux, FileVault unter macOS und in vielen Self-Encrypting Drives. Auch HSM-Module und TPM-Chips implementieren AES in Hardware, um Schlüsselmaterial nie im Klartext aus dem sicheren Speicher zu lassen.
Schlüsselmanagement als Schwachstelle
In der Praxis scheitert AES nicht am Algorithmus, sondern am Umgang mit den Schlüsseln. Wir finden in Assessments regelmäßig hartkodierte AES-Schlüssel in Source-Code-Repositories, Backup-Konfigurationen mit symmetrischen Schlüsseln in Klartext-INI-Dateien oder Anwendungen, die denselben statischen IV für alle Datensätze verwenden. Ein wiederverwendeter IV im CTR- oder GCM-Modus zerstört die Vertraulichkeit vollständig — bei GCM zusätzlich die Authentizität, weil sich der Authentifizierungsschlüssel rekonstruieren lässt. Die Trennung von Datenschlüsseln und Key-Encryption-Keys, die Speicherung von Master-Keys in einem HSM oder TPM und ein dokumentierter Rotations- und Wiederherstellungsprozess sind die Punkte, an denen Implementierungen tatsächlich gewinnen oder verlieren.
AES im Zeitalter von Quantencomputern
Im Gegensatz zu asymmetrischer Kryptografie wie RSA oder ECC ist AES gegen Quantenangriffe weitgehend robust. Der Grover-Algorithmus halbiert lediglich die effektive Sicherheitsstufe einer symmetrischen Chiffre — AES-256 bietet damit gegen einen hypothetischen vollwertigen Quantencomputer noch etwa 128 Bit Sicherheit, AES-128 noch rund 64 Bit. Das NIST stuft AES-128 weiterhin als für die meisten Anwendungen ausreichend ein, empfiehlt für langfristig vertrauliche Daten aber den Umstieg auf AES-256. Anders als bei Public-Key-Verfahren ist hier keine grundlegende Algorithmus-Migration nötig — der Wechsel der Schlüssellänge reicht aus.
Relevanz für KMUs
Für mittelständische Unternehmen ist AES selten ein Auswahlproblem, sondern ein Konfigurationsthema. Wir finden in Assessments regelmäßig TLS-Endpunkte, die noch CBC-Cipher-Suiten anbieten, Backup-Lösungen mit AES-128-CBC ohne authentifizierten Modus oder Festplattenverschlüsselungen ohne dokumentiertes Recovery-Key-Management. Die praktische Härtung beginnt damit, alle eingesetzten AES-Modi zu inventarisieren, ECB und reines CBC zu eliminieren, GCM oder ChaCha20-Poly1305 in TLS zu priorisieren und für jeden Schlüssel den Lebenszyklus zu definieren: Wer erzeugt ihn, wo liegt er, wann wird er rotiert, wer kann ihn wiederherstellen. Schlüssel, die in HSM- oder TPM-Modulen liegen, lassen sich nicht aus dem Server extrahieren — eine Eigenschaft, die bei Server-Diebstahl, Insider-Risiken und Ransomware-Vorfällen den Unterschied zwischen Datenleck und kontrolliertem Vorfall ausmachen kann.