Ist AES-256 in der Praxis dramatisch sicherer als AES-128?
Kurzantwort
Praktisch nein. AES-128 erfordert bereits etwa 2^128 Aufwand für Brute Force — völlig undurchführbar — daher macht AES-256 dich gegen Brute Force nicht spürbar sicherer; es gibt vor allem Reserve (post-quanten Spielraum, Compliance). Beide sind standardisiert und ungebrochen. Dein Modus (GCM), Nonce-Handhabung und Schlüsselverwaltung zählen weit mehr als 128 gegen 256. „AES-256 ist doppelt so sicher“ ist der Irrtum.
Beschaffungslisten lieben „AES-256“, und Kandidaten plappern oft nach, es sei „doppelt so sicher“ wie AES-128. Die Zahl ist größer, aber der Sicherheitsunterschied für reale Systeme ist gegen Brute Force im Wesentlichen null — und das verrät ein Missverständnis darüber, wie Schlüsselsuche skaliert.
Was 128 Schlüsselbits bereits leisten
AES-128 per Brute Force zu knacken bedeutet, einen Schlüsselraum von 2^128 zu durchsuchen, also etwa 3,4×10^38 Schlüssel. Selbst eine absurde Maschine, die eine Billion Billionen Schlüssel pro Sekunde testet, bräuchte weit länger als das Alter des Universums. AES-128 ist nicht „fast gebrochen“ — es liegt bequem außerhalb der Reichweite jedes klassischen Angreifers. Der Schritt zu 2^256 bringt dich nicht von „brechbar“ zu „sicher“; beide liegen mit astronomischen Margen auf der sicheren Seite des Undurchführbaren.
„Jedes Bit halbiert den Angriff“ — wahr, aber belanglos
Der Distraktor weist technisch in die richtige Richtung: Jedes zusätzliche Schlüsselbit verdoppelt den Suchaufwand. Doch etwas bereits Undurchführbares zu verdoppeln ergibt nur eine größere undurchführbare Zahl. AES-256 ist theoretisch etwa 2^128-mal schwerer als AES-128, und beide sind praktisch ungebrochen. Der Stärkeunterschied existiert nur auf dem Papier.
Wo AES-256 wirklich hilft
AES-256 bringt Reserve, keine Alltagssicherheit:
- Post-quanten Spielraum. Grovers Algorithmus liefert eine quadratische Beschleunigung und halbiert faktisch die Stärke symmetrischer Schlüssel gegen einen großen Quantencomputer. AES-256 behielte ~128-Bit-äquivalente Stärke; AES-128 fiele auf ~64-Bit-Äquivalent.
- Compliance und Langzeitgeheimnisse. Viele Regime (z. B. eingestufte Daten) schreiben 256-Bit-Schlüssel vor.
Was AES-Einsätze tatsächlich bricht
Reale AES-Fehler kommen fast nie von der Schlüssellänge, sondern von Modus- und Betriebsfehlern: ECB verwenden, einen GCM-Nonce wiederverwenden (was Klartext leaken und Tags fälschen kann), schwache Schlüsselerzeugung, fest codierte Schlüssel oder fehlende Authentifizierung. AES-256 zu wählen und dabei Nonces wiederzuverwenden ist weit schwächer als korrekt umgesetztes AES-128. Die beiden falschen „Ja“-Antworten fixieren sich auf die Schlüsselgröße; die falsche „AES-128 ist stärker“ erfindet eine Related-Key-Schwäche, die für korrekt genutztes AES nicht gilt. Die Lehre: Nimm 256 für die Reserve, wenn du magst, aber richte deine Aufmerksamkeit auf Modus, Nonces und Schlüsselverwaltung.
Wahrscheinliche Anschlussfragen
- Wie viel Brute-Force-Aufwand erfordert AES-128 etwa, und warum ist das undurchführbar?
- Wie ändert Grovers Algorithmus das Bild für AES bei einem Quantenangreifer?
- Warum bricht Wiederverwendung eines GCM-Nonce die Sicherheit, egal ob 128 oder 256?