Für jemanden, der sich noch nicht ausführlich mit dem Thema Cybersicherheit beschäftigt hat, werfen Verschlüsselung viele Fragen auf. Der Begriff „Verschlüsselung auf Militär-Niveau“ macht die Sache nur noch undurchsichtiger. Wenn du jedoch mit verschlüsselten Diensten vertraut bist, hast du diesen Begriff möglicherweise schon oft gehört, insbesondere in Bezug auf verschiedene VPN-Dienste.
Inhalt
Manche Cybersicherheitsexperten würden diesen Satz wohl als Marketing-Gimmick bezeichnen. Andere mögen hingegen argumentieren, dass er schwierige Sachzusammenhänge auf leicht verständliche Weise vermittelt. Aber was bedeutet Verschlüsselung auf Militär-Niveau wirklich?
Was ist Verschlüsselung auf Militär-Niveau?
Verschlüsselung auf militärischem Niveau bezeichnet den AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln. Im Jahr 2001 wurde der AES vom National Institute of Standards and Technology (NIST), einer Abteilung des US-Handelsministeriums, als neuer Standard für Informationssicherheit angekündigt.
Bei der Verschlüsselung auf Militär-Niveau kommt herkömmlicherweise eine Schlüsselgröße von 128 Bit oder mehr zum Einsatz. Die US-Regierung gibt an, dass AES-128 für geheime (nicht den formellen Geheimhaltungsstufen unterliegende) Informationen und AES-256 für streng geheime (den formellen Geheimhaltungsstufen unterliegende) Informationen verwendet wird. Wenn eine Körperschaft Informationen auf beiden Ebenen verarbeitet, kommt in der Regel AES-256 als Standard zum Einsatz.
Für technisch nicht sonderlich versierte Menschen sind diese Buchstaben und Zahlen wohl weitgehend nichtssagend. Um Verschlüsselungstechnologien der Allgemeinheit näherzubringen, suchten Sicherheitsunternehmen nach einem Begriff, der die höchste Sicherheitsstufe auch mit weniger Fachterminologie treffend beschrieb. Da sowohl die US-Regierung als auch die NSA den AES nutzen, um Informationen, die den formellen Geheimhaltungsstufen unterliegen, bzw. Daten über die nationale Sicherheit zu schützen, schien die Formulierung „Militär-Niveau“ sinnvoll.
Wurde der AES schon einmal geknackt?
Die AES-256-Blockchiffre wurde bisher noch nicht geknackt, auch wenn diesbezüglich mehrere Versuche unternommen wurden. 2011 veröffentlichten Andrey Bogdanov, Dmitry Khovratovich und Christian Rechberger den ersten Schlüssel-Recovery-Angriff auf den vollständigen AES. Sie nutzten dabei den Biclique-Angriff, der um den Faktor vier schneller ist als eine Brute-Force-Attacke. Es war jedoch ein kleinerer Erfolg. Der 126-Bit-Schlüssel ist nicht weit verbreitet, da der niedrigste Schlüssel in der AES-Verschlüsselung 128 Bit enthält.
Trotzdem würde es immer noch mehrere Milliarden Jahre dauern, um den 126-Bit-Schlüssel zu knacken. Aus diesem Grund lässt sich aus diesem Versuch keine Gefahr für Informationen ableiten, die mit dem AES verschlüsselt sind. Es ist kein praktischer Angriff bekannt, der es jemandem ermöglichen würde, auf AES-verschlüsselte Daten zuzugreifen, wenn die Verschlüsselung korrekt implementiert ist.
Wie lange wird es den AES geben?
Gemäß NIST kann sich niemand sicher sein, wie lange der AES oder ein anderer kryptografischer Algorithmus sicher bleibt. Indessen war der Data Encryption Standard des NIST (bekannt als DES) 20 Jahre lang US-Regierungsstandard, bevor er gehackt werden konnte. Der AES unterstützt dabei deutlich größere Schlüsselgrößen als der DES. Abgesehen von Angriffen auf den AES, die schneller als die Schlüsselerschöpfung sind, und trotz zukünftiger Technologiefortschritte, hat der AES das Potenzial, weit über 20 Jahre hinaus sicher zu bleiben.
Benötige ich Sicherheit auf militärischem Niveau?
Viele Skeptiker würden behaupten, dass Sie keine Verschlüsselung auf Militär-Niveau benötigen, da andere Verschlüsselungsalgorithmen auch gute Arbeit leisten. Keine Branche und kein Dienst ist jedoch gegen Angriffe immun. Dienste, die vertrauliche Informationen wie Passwörter oder Finanzdaten speichern, sollten dabei nicht weniger als den empfohlenen Standard nutzen.
Als das NIST diese Norm 2001 der Öffentlichkeit vorstellte, wurde bereits erwartet, dass die Privatwirtschaft sie weitgehend übernehmen würde. Damals und heute wird sie als vorteilhaft für Millionen von Verbrauchern und Unternehmen für den Schutz ihrer sensiblen Informationen angesehen.
Wenn du also zeigen möchtest, dass dir deine Benutzer und ihre personenbezogenen Daten wichtig sind, musst du die beste Verschlüsselung nutzen, die es gibt.
Verschlüsselung auf militärischem Niveau oder AES-256?
Am Ende ist es eine persönliche Entscheidung. Wenn du technisch versiert bist, sind dir möglicherweise die richtigen Fachbegriffe lieber. Aber die Übersetzung komplexer technologischer Ideen in die Alltagssprache kann durchaus eine Herausforderung sein. Daher muss man manchmal gängige Begriffe verwenden, um die eigene Botschaft zu veranschaulichen, damit sie den Benutzer erreicht. Wenn der Begriff „auf Militärniveau“ dazu beiträgt, den Gedanken dahinter verständlicher zu machen, kann es nicht schaden, ihn zu verwenden.