Hoe werkt het encryptie algoritme Rijndael?
Ook bekend onder de afkorting AES

Het overbrengen van zeer vertrouwelijke informatie naar een veilige locatie zonder ongeoorloofde toegang tot die informatie te verhinderen, brengt veel gevaren met zich mee. In de loop der eeuwen hebben mensen herhaaldelijk pogingen gedaan om bijzonder moeilijk te ontcijferen geheime talen te ontwikkelen. Vanaf het oude Rome tot aan de Tweede Wereldoorlog werden er door staatslieden en belangrijke commandanten in gecodeerde vorm orders gestuurd om de vijand te misleiden of de informatie uit handen van onbevoegden te houden.

Helaas waren deze vormen van encryptie meestal zeer eenvoudig te kraken. Zo zijn bijvoorbeeld geheime talen gemakkelijk te ontcijferen als ze zijn ontstaan door letters te verplaatsen (bijvoorbeeld, vandaag is een mooie dag = heute ist ein schöner Tag = heu teis teinsch önert ag). Het zwakke punt van alle geraffineerde geheime talen is dat als de sleutel eenmaal is gevonden, elke tekst kan worden "vertaald". Met het gebruik van computers is het in ieder geval onmogelijk geworden om een sleutel die wordt toegeschreven aan het verschuiven van letters geheim te houden.

Vandaag de dag moeten andere encryptiemethoden worden gebruikt om te voorkomen dat vertrouwelijke informatie door iedereen ingezien kan worden. Ook hier wordt weer een sleutel gebruikt, die alleen de versturende en de ontvangende partij kennen. Voor het versleutelen en ontcijferen worden zogenaamde encryptie algoritmes gebruikt. Een encryptie algoritme is een wiskundige methode, waarbij conversie van de gegevens plaatsvindt.

Password Depot gebruikt het encryptie algoritme Rijndael of AES (Advanced Encryption Standard) om uw vertrouwelijke gegevens te versleutelen.

Dit beveiligingsalgoritme wordt hieronder nader toegelicht.

Geavanceerde Encryptie Standaard, korte AES of Rijndael

Het Amerikaanse National Bureau of Standards heeft een gecompliceerde coderingsstandaard ontwikkeld, DES (Data Encryption Standard) genaamd, die onbeperkte mogelijkheden voor gegevensencryptie bood. Deze encryptie standaard is grotendeels vervangen door Rijndael encryptie. De naam Rijndael is afgeleid van de namen van de Belgische cryptologen en initiatiefnemers van deze encryptiemethode, Joan Daemen en Vincent Rijmen. Bij Rijndael wordt de encryptie uitgevoerd met een 128, 192 of 256-bits sleutel, die een gegarandeerde verhoogde beveiliging biedt tegen brute-force aanvallen. Bovendien werkt deze encryptiemethode drie keer zo snel als DES in software. Deze methode kan worden gebruikt voor zowel de veilige uitwisseling van sleutels als voor de overdracht van gegevens met een lengte van 128 of 256 bits.

AES is in de Verenigde Staten goedgekeurd voor overheidsdocumenten met een hoog beveiligingsniveau.

Zo werkt het encryptie algoritme Rijndael

De Rijndael encryptie is gebaseerd op byte-voor-byte vervanging, swap en XOR.

De procedure ziet er zo uit:

  • Rijndael genereert steeds 10 128-bits sleutels uit de 128-bits sleutel.
  • Deze worden opgeslagen in 4 x 4 tabellen.
  • De platte tekst is ook verdeeld in 4 x 4 tabellen (elk in 128-bits fragmenten).
  • Elk van de 128-bits fragmenten platte tekst wordt verwerkt in een 10 rondes durend proces (10 rondes op 128-bits sleutels, 11 op 192, 13 op 256).
  • Zo wordt de code gegenereerd na de 10e ronde.
  • Elke individuele byte wordt in een S-box vervangen door de wederkerige over GF (2 8).
  • Vervolgens wordt een modulo 2-matrix bitwise toegepast en een XOR-bewerking uitgevoerd op 63.
  • De rijen van de matrices zijn nu cyclisch gesorteerd.
  • Vervolgens worden de kolommen uitgewisseld door middel van matrixvermenigvuldiging via een Galoisveld (GF) (2 8).
  • Voor elke ronde wordt een XOR-koppeling op de subsleutel toegepast.

De veiligheid van deze encryptiemethode neemt toe wanneer Rijndael meerdere malen met verschillende ronde sleutels wordt uitgevoerd.

De officiële specificatie is te vinden op https://csrc.nist.gov/files/pubs/fips/197/final/docs/fips-197.pdf

Brute-force aanvallen

Brute-force aanvallen zijn zeer gevaarlijk omdat er allerlei soorten sleutels worden gebruikt om een proces aan te vallen. De aanvaller kan een virus verspreiden via het internet, dat in het geheim sleutels op de achtergrond uitprobeert en de resultaten via een server uitwisselt. Met deze aanvallen kun je bijvoorbeeld DES in zeer korte tijd kraken. Modernere methoden, zoals BlowFish en Rijndael, worden beschermd tegen brute-force aanvallen, omdat hun sleutellengte meer dan 128 bits kan bedragen.

Password Depot maakt brute-force aanvallen ook moeilijker door middel van een vertragingsfunctie. Hierdoor blijft het programma na een foutief ingevoerd masterwachtwoord nog enkele seconden geblokkeerd.

En één ding is zeker: aangezien de sleutellengte bij Rijndael naar wens kan variëren, wordt dit moderne beveiligingsalgoritme vanuit het huidige perspectief voor een zeer lange tijd als veilig beschouwd.

Meer overbrute-force aanvallen.