Hallo,

Ich verschlüssle/entschlüssle die Daten vor/nach der Übertragung client- und serverseitig mit AES in Verbindung mit einem Schlüssel, der aus den zu übertragenden Daten erzeugt wird und - versteckt - mit übertragen wird.

Kryptographie ist nicht einfach und nach meinem Laienverständnis läuft hier alles schief, was nur schief laufen kann.

Nur weil mit AES ein prinzipiell brauchbarer Algorithmus verwendet wird, ist diese Anwendung keinesfalls sicher. Es kommt immer auf die korrekte Verwendung und konkrete Ansteuerung von AES an (Modus, Schlüsselwahl, Initialisierungsvektor, Schlüsselübertragung…).

Der Schlüssel sollte nicht aus den Daten hergeleitet werden, sondern möglichst zufällig sein. Wenn der Schlüssel ohnehin mit der Nachricht übertragen wird, dann ist das nicht mehr Verschlüsselung, sondern einfach knackbare Verschleierung. Jeder kann den clientseitigen Code lesen und das »Versteck« unter der Fußmatte finden. Wie Klärchen schon gesagt hat: Wer tatsächlich an der Leitung horcht, wird das schnell auseinandernehmen können.

Es gibt bereits ein System, das das Problem der sicheren Schlüsselübertragung und anschließenden Nachrichtenverschlüsselung löst: SSL und in diesem Falle HTTPS. Eine selbstgebaute »Verschlüsselung» hingegen ist meistens nutzlos und den Aufwand nicht wert.

Grüße
Mathias