Hur fungerar krypteringsalgoritmen Rijndael?

Advanced Encryption Standard (AES) – den standardiserade varianten av Rijndael

Det amerikanska National Bureau of Standards (i dag NIST) standardiserade 1977 DES; denna standard drogs tillbaka 2005 drogs tillbaka, eftersom den inte längre var tillräckligt säker (NIST-meddelande). Som efterföljare valde NIST 2001 Rijndael och standardiserade det som Advanced Encryption Standard (AES) (FIPS 197).

AES är godkänt för att skydda information från amerikanska myndigheter upp till nivån TOP SECRET (se CNSSP-15 Fact Sheet samt NSA:s aktuella CNSA-2.0-FAQ).

Så fungerar Rijndael/AES (kort översikt)

Rijndael är ett substitutions-permutationsnätverk-chiffer. Kärnidierna är substitutioner på bytenivå, linjära transformationer och XOR-operationer.

Förlopp på blocknivå (128-bitars ”state”)

• Nyckelexpansion (Key Schedule): Från nyckeln härleds Nr + 1 rundnycklar (t.ex. 11 vid AES-128, 13 vid AES-192, 15 vid AES-256). Källa: FIPS 197.
• Initial runda: AddRoundKey – klartextblocket (som en 4×4-byte-matris) kombineras med den första rundnyckeln via XOR.
• Rundor 1 … Nr:
  • SubBytes: Varje byte ersätts via en S-Box (multiplikativ invers i GF(2⁸) plus affin transformation med konstant 0x63). Källa: FIPS 197.
  • ShiftRows: raderna i tillståndsmatrisen förskjuts cykliskt.
  • MixColumns: kolumner blandas genom matrismultiplikation över GF(2⁸).
  • AddRoundKey: XOR med respektive omgångsnyckel.

AES kan implementeras i programvara, firmware eller hårdvara (FIPS 197). För praktisk användning används Driftlägen används, t.ex. CBC, CTR eller GCM (autentiserad kryptering). Rekommendationer finns i NIST SP 800–38A och NIST SP 800–38D (GCM/GMAC).

Viktigt för att sätta detta i sitt sammanhang: AES är en symmetrisk chiffermetod för datakryptering. Nyckelutbyte sker vanligtvis med asymmetriska metoder ((EC)DH/RSA). AES kan dock säkert inkapsla nycklar (”Key Wrap”) – jfr NIST SP 800–38F.

Officiell specifikation

Referensen finns här: https://csrc.nist.gov/files/pubs/fips/197/final/docs/fips-197.pdf

Brute force-attacker

Brute force innebär att en angripare alla möjliga nycklar prövar. Klassiska metoder som DES med endast 56-bitarsnycklar kan därmed i praktiken knäckas i dag – därför drog NIST officiellt tillbaka DES 2005officiellt tillbaka (NIST).

Moderna metoder som AES med nycklar på 128/192/256 bitar har däremot ett astronomiskt stort nyckelutrymme. I praktiken är det mindre algoritmen än nyckelhärledningen från lösenord och kvaliteten på huvudlösenordet.

Password Depot försvårar dessutom brute-force-attacker genom en fördröjningsfunktion: efter en felaktig inmatning av huvudlösenordet förblir programmet låst i några sekunder.

Slutsats: Vid korrekt implementering, lämpliga driftlägen (t.ex. GCM) och tillräcklig nyckellängd anses AES enligt dagens bedömning vara mycket säkert på lång sikt.

Mer om brute-force-attacker.

Vidare källor

• FIPS 197 – Advanced Encryption Standard (AES)
• FIPS 197 – PDF (originalspecifikation)
• NIST: AES är en delmängd av Rijndael (blockstorlek 128 bitar)
• NIST SP 800–38A – driftlägen (ECB/CBC/CFB/OFB/CTR)
• NIST SP 800–38D – GCM/GMAC (autentiserad kryptering)
• NIST SP 800–38F – AES Key Wrap
• CNSSP–15 Fact Sheet – användning av AES för hemlig/topphemlig information
• NSA: CNSA 2.0 FAQ – aktuella krav
• NIST: tillbakadragande av DES (bakgrund)