Hoe werkt het versleutelingsalgoritme Rijndael?

Advanced Encryption Standard (AES) – de gestandaardiseerde variant van Rijndael

Het U.S. National Bureau of Standards (tegenwoordig NIST) standaardiseerde in 1977 de DES; deze standaard werd in 2005 ingetrokken, omdat deze niet langer voldoende veilig was (NIST-melding). Als opvolger koos NIST in 2001 Rijndael en standaardiseerde daaruit de Advanced Encryption Standard (AES) (FIPS 197).

AES is toegelaten voor de bescherming van informatie van Amerikaanse overheidsinstanties tot en met het niveau TOP SECRET (zie CNSSP‑15 Fact Sheet en de actuele CNSA‑2.0‑FAQ van de NSA).

Zo werkt Rijndael/AES (kort overzicht)

Rijndael is een substitutie-permutatienetwerk-cijfer. De kernideeën zijn substituties op byte-niveau, lineaire transformaties en XOR-bewerkingen.

Verloop op blokniveau (128-bit-‘state’)

• Sleuteluitbreiding (key schedule): Uit de sleutel worden Nr + 1 rondesleutels afgeleid (bijv. 11 bij AES-128, 13 bij AES-192, 15 bij AES-256). Bron: FIPS 197.
• Initiële ronde: AddRoundKey – het plaintextblok (als 4×4-byte-matrix) wordt via XOR gekoppeld aan de eerste rondesleutel.
• Rondes 1 … Nr:
  • SubBytes: Elke byte wordt via een S-Box vervangen (multiplicatieve inverse in GF(2⁸) plus affiene transformatie met constante 0x63). Bron: FIPS 197.
  • ShiftRows: rijen van de State-matrix worden cyclisch verschoven.
  • MixColumns: kolommen worden via matrixvermenigvuldiging over GF(2⁸) gemengd.
  • AddRoundKey: XOR met de betreffende rondesleutel.

AES kan in software, firmware of hardware worden geïmplementeerd (FIPS 197). Voor praktisch gebruik worden Bedrijfsmodi gebruikt, bijvoorbeeld CBC, CTR of GCM (geauthenticeerde versleuteling). Aanbevelingen vindt u in NIST SP 800–38A en NIST SP 800–38D (GCM/GMAC).

Belangrijk ter verduidelijking: AES is een symmetrische cipher voor gegevensversleuteling. Sleuteluitwisseling gebeurt doorgaans met asymmetrische methoden ((EC)DH/RSA). AES kan sleutels echter veilig inpakken (“Key Wrap”) – zie NIST SP 800–38F.

Officiële specificatie

De referentie vindt u hier: https://csrc.nist.gov/files/pubs/fips/197/final/docs/fips-197.pdf

Brute-force-aanvallen

Brute-force betekent dat een aanvaller alle mogelijke sleutels uitprobeert. Klassieke methoden zoals DES met slechts 56-bits sleutels kunnen daarmee tegenwoordig praktisch worden gekraakt – daarom heeft NIST DES in 2005 officieel ingetrokken (NIST).

Moderne methoden zoals AES met sleutels van 128/192/256 bits hebben daarentegen een astronomisch grote sleutelruimte. In de praktijk zijn minder het algoritme dan de sleutelafleiding uit wachtwoorden en de kwaliteit van het master-wachtwoord.

Password Depot bemoeilijkt bruteforce-aanvallen bovendien met een extra vertragingsfunctie: na een onjuiste invoer van het master-wachtwoord blijft het programma enkele seconden vergrendeld.

Conclusie: Bij correcte implementatie, geschikte bedrijfsmodi (bijv. GCM) en voldoende sleutellengte geldt AES vanuit huidig perspectief als op zeer lange termijn veilig.

Meer over bruteforce-aanvallen.

Aanvullende bronnen

• FIPS 197 – Advanced Encryption Standard (AES)
• FIPS 197 – PDF (originele specificatie)
• NIST: AES is een subset van Rijndael (blokgrootte 128 bit)
• NIST SP 800–38A – bedrijfsmodi (ECB/CBC/CFB/OFB/CTR)
• NIST SP 800–38D – GCM/GMAC (geauthenticeerde versleuteling)
• NIST SP 800–38F – AES Key Wrap
• CNSSP–15 Fact Sheet – gebruik van AES voor geheime/zeer geheime informatie
• NSA: CNSA 2.0 FAQ – actuele vereisten
• NIST: intrekking van DES (achtergrond)