AES-256 Versleuteling Uitgelegd

Wat is AES?

De Advanced Encryption Standard (AES) is een versleutelingsmethode die in 2001 door het Amerikaanse National Institute of Standards and Technology (NIST) als officiële standaard is vastgesteld. Het wordt wereldwijd gebruikt door overheden, banken en bedrijven om gevoelige gegevens te beschermen.

Het getal „256" verwijst naar de sleutellengte in bits. Hoe langer de sleutel, hoe veiliger de versleuteling. AES-256 gebruikt een 256-bit sleutel – dat zijn 2²⁵⁶ mogelijke combinaties.

Hoe veilig is het?

De 256-bit sleutel zelf raden is kansloos – zelfs de snelste supercomputer zou miljarden miljarden miljarden keer langer nodig hebben dan het universum bestaat. Daarom vallen aanvallers niet de sleutel aan, maar het wachtwoord waaruit deze wordt afgeleid. Hoe goed dat beschermd is, ziet u in de demo hieronder.

Van wachtwoord naar sleutel

AES-256 heeft een sleutel nodig van exact 256 bit – maar u voert een wachtwoord in dat misschien maar 8 tekens heeft. Een sleutelafleiding-functie (PBKDF2) genereert daaruit de eigenlijke sleutel: uw wachtwoord wordt samen met een willekeurige salt honderdduizend keer door complexe berekeningen gehaald. De salt – Engels voor „zout", omdat het de invoer als een snufje zout verandert – zorgt ervoor dat hetzelfde wachtwoord elke keer een andere sleutel oplevert. Deze wordt open naast de versleutelde gegevens opgeslagen en is geen geheim. De vele iteraties zijn opzettelijk traag – voor u nauwelijks merkbaar, voor een aanvaller een enorm obstakel.

Voer een wachtwoord in en zie live hoe daaruit een 256-bit sleutel wordt afgeleid – en hoe daarmee gegevens worden versleuteld:

Uw wachtwoord

8 tekens · Nieuw wachtwoord

Salt (willekeurige waarde)

Eenmalig per versleuteling

→

↓

Sleutelafleiding

PBKDF2

100.000 iteraties

→

↓

256-bit sleutel

…

64 hex-tekens = 256 bit

Belangrijk: Noch PBKDF2, noch de salt maken van een zwak wachtwoord een sterk wachtwoord – test het hierboven met „1234". De veiligheid van uw gegevens hangt direct af van de kwaliteit van uw wachtwoord.

Tip: Het hierboven gegenereerde willekeurige wachtwoord kunt u direct gebruiken. De wachtwoordcontrole maakt gebruik van de Have I Been Pwned-API – alleen de eerste 5 tekens van de SHA-1-hash worden verzonden, uw wachtwoord verlaat de browser nooit als platte tekst.

Beveiliging in de cloud

Versleutelde bestanden blijven ook in de cloud veilig – de aanbieder ziet alleen onleesbare gegevens. Dit maakt end-to-end-versleuteling mogelijk tussen uw apparaten. Zelfs bij een datalek blijven uw gegevens beschermd.

Toepassing in GrandTotal

GrandTotal gebruikt AES-256 voor versleutelde bedrijfsbestanden. Uw facturen, offertes en klantgegevens worden lokaal op uw Mac versleuteld voordat ze worden opgeslagen. Het wachtwoord kunt u laten opslaan in de macOS-sleutelhanger.

In het kort

Wereldwijde standaard

Sinds 2001 gebruikt door overheden en banken

Extreem veilig

Praktisch onkraakbaar, zelfs met supercomputers

Eén wachtwoord volstaat

Dezelfde sleutel voor versleutelen en ontsleutelen

Wachtwoordkwaliteit cruciaal

Zwakke wachtwoorden blijven zwak

Cloud-veilig

Versleutelde bestanden blijven beschermd in de cloud