AES-GCM
Was ist AES-GCM?
AES-GCMEin authentifizierter Verschluesselungsmodus, der AES im Zaehlermodus mit einem GHASH-basierten Authentifizierungstag fuer Vertraulichkeit und Integritaet in einem Durchgang kombiniert.
AES-GCM (Galois/Counter Mode) ist der in NIST SP 800-38D standardisierte AEAD-Modus (authentifizierte Verschluesselung mit zugehoerigen Daten). Er verwendet AES (128-Bit-Blockgroesse, 128/192/256-Bit-Schluessel) im CTR-Modus zur Verschluesselung und eine GHASH-Funktion ueber GF(2^128), um ein 128-Bit-Authentifizierungstag ueber das Chiffrat und die zusaetzlichen authentifizierten Daten (AAD) zu erzeugen. Ein einziger Durchgang liefert sowohl Vertraulichkeit als auch Integritaet, und da der Zaehlermodus vollstaendig parallelisierbar ist und von AES-NI-Hardwarebefehlen profitiert, ist AES-GCM der Standard in TLS 1.2/1.3 (RFC 5288, RFC 8446), IPsec, SSH und 802.11ac.
Sein definierender Schwachpunkt ist der katastrophale Ausfall bei Nonce-Wiederverwendung. Die Authentifizierung von GCM ist ein Polynom-MAC, der an einem Schluessel ausgewertet wird, der durch Verschluesselung des Nullblocks abgeleitet wird; die Wiederholung einer 96-Bit-Nonce unter demselben Schluessel ergibt zwei Chiffrate, deren Tag-Gleichungen es einem Angreifer erlauben, diesen Authentifizierungsschluessel zu loesen (die von Antoine Joux beschriebene "verbotene Attacke" bzw. forbidden attack). Einmal rekonstruiert, kann der Angreifer gueltige Tags fuer beliebige Nachrichten faelschen. Das ist nicht theoretisch: 2016 scannte die Studie Nonce-Disrespecting Adversaries (Böck, Zauner, Devlin, Somorovsky, Jovanovic, USENIX WOOT) das Internet und fand 184 HTTPS-Server, die Nonces wiederholten — darunter Finanzinstitute —, was deren Verbindungsauthentizitaet vollstaendig brach, sowie ueber 70.000 Server, die zufaellige Nonces verwendeten und damit ueber lange Sitzungen eine Kollision riskieren.
Schutzmassnahmen: deterministische oder zaehlerbasierte Nonces verwenden, niemals zufaellige; die Datenmenge pro Schluessel begrenzen (NIST limitiert auf ~2³² Bloecke); oder nonce-missbrauchsresistente Modi wie AES-GCM-SIV (RFC 8452) einsetzen.
flowchart TD K[AES-Schluessel] --> CTR N[96-Bit-Nonce/IV] --> CTR[AES-CTR verschluesseln] P[Klartext] --> CTR CTR --> C[Chiffrat] C --> G[GHASH ueber GF 2^128] AAD[Zusaetzliche auth. Daten] --> G G --> T[128-Bit-Auth-Tag] C --> OUT[Chiffrat + Tag] T --> OUT N -. Wiederverwendung unter gleichem Schluessel .-> X[Forbidden attack:<br/>Auth-Schluessel rekonstruieren, Tags faelschen]
● Beispiele
- 01
TLS-1.3-Suite TLS_AES_128_GCM_SHA256.
- 02
Festplatten- und Record-Verschluesselung in Cloud-KMS-Diensten.
● Häufige Fragen
Was ist AES-GCM?
Ein authentifizierter Verschluesselungsmodus, der AES im Zaehlermodus mit einem GHASH-basierten Authentifizierungstag fuer Vertraulichkeit und Integritaet in einem Durchgang kombiniert. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet AES-GCM?
Ein authentifizierter Verschluesselungsmodus, der AES im Zaehlermodus mit einem GHASH-basierten Authentifizierungstag fuer Vertraulichkeit und Integritaet in einem Durchgang kombiniert.
Wie schützt man sich gegen AES-GCM?
Schutzmaßnahmen gegen AES-GCM kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AES-GCM?
Übliche alternative Bezeichnungen: Galois/Counter-Modus, AES-128-GCM, AES-256-GCM.