Textverschlüsselung und -entschlüsselung
AES-256-GCM-Verschlüsselung, 100 % in Ihrem Browser.
Verwendet AES-256-GCM über die Web Crypto API. Pro Verschlüsselung werden ein zufälliger 96-Bit-IV und ein 128-Bit-Salt erzeugt. Das Passwort wird mit PBKDF2 abgeleitet (100.000 Iterationen, SHA-256).
So funktioniert es
- Wählen Sie den Modus Verschlüsseln oder Entschlüsseln.
- Geben Sie Ihren Text und ein Passwort ein.
- Klicken Sie auf den Aktionsbutton · das Ergebnis erscheint darunter.
- Zum Entschlüsseln fügen Sie die verschlüsselte Ausgabe ein und nutzen dasselbe Passwort.
Häufige Fragen
Ist diese Verschlüsselung sicher?
Ja. AES-256-GCM ist eine Verschlüsselung in Militärqualität. In Kombination mit der PBKDF2-Schlüsselableitung (100.000 Iterationen) bietet sie robusten Schutz. Die Sicherheit hängt jedoch von der Stärke Ihres Passworts ab.
Können Sie mein Passwort wiederherstellen?
Nein. Alles läuft in Ihrem Browser. Wir sehen weder Ihren Text noch Ihr Passwort. Wenn Sie Ihr Passwort verlieren, lässt sich der verschlüsselte Text nicht wiederherstellen.
In welchem Format ist die Ausgabe?
Die verschlüsselte Ausgabe ist eine Base64-Zeichenkette, die Salt, IV und Chiffretext enthält. Fügen Sie sie einfach wieder in das Tool ein, um zu entschlüsseln.
Was tatsächlich geschieht, wenn Sie auf Verschlüsseln klicken
Symmetrische Chiffren wie AES verwenden denselben Schlüssel zum Ver- und Entschlüsseln. Das bedeutet, dass derjenige, der den Schlüssel besitzt, die Daten sowohl sperren als auch entsperren kann, sodass die gesamte Herausforderung bei der Nutzung auf eine einzige Frage zusammenschrumpft: Wie teilen Absender und Empfänger den Schlüssel, ohne ihn preiszugeben? Die Antwort dieses Tools lautet „das regeln Sie selbst“, einigen Sie sich über einen separaten vertrauenswürdigen Kanal auf ein Passwort, und dann fügen Sie beide hier denselben String ein.
Hinter den Kulissen führt das Tool vier Schritte über die native Web Crypto API des Browsers aus:
- Ihr Passwort zu einem Schlüssel strecken. Ein Passwort ist ein kurzer String mit geringer Entropie; ein AES-256-Schlüssel besteht aus 32 Byte hochentropischer Zufallsdaten. Das Tool leitet Ihr Passwort durch PBKDF2-HMAC-SHA-256 mit 100.000 Iterationen (festgelegt in RFC 8018) plus einem 128-Bit-Zufallssalt. Das Salt sorgt dafür, dass jede Verschlüsselung einen anderen Schlüssel erzeugt, selbst wenn Sie das Passwort wiederverwenden, was Rainbow-Table-Angriffe zunichtemacht. Die Iterationszahl verlangsamt das Erraten per Brute Force auf Pro-Versuch-Basis.
- Eine frische Nonce erzeugen. Ein 96-Bit-Zufalls-IV (die von NIST empfohlene Länge für AES-GCM) wird über
crypto.getRandomValueserzeugt: dieselbe kryptografisch sichere Zufallsquelle, die der Browser für TLS verwendet. - Mit AES-256-GCM verschlüsseln. Der Klartext wird als UTF-8-Bytes codiert und durch AES-256 im Galois/Counter Mode geführt, was Geheimtext plus einen 128-Bit-Authentifizierungstag erzeugt.
- Verpacken und Base64-codieren. Das Salt, der IV und der Geheimtext samt Tag werden zu einem einzigen Binär-Blob verkettet und Base64-codiert, sodass er sicher durch E-Mail, Chat oder überall sonst reist, wo ASCII erwartet wird.
Warum speziell AES-256-GCM
AES (Advanced Encryption Standard) ist die symmetrische Chiffre, die NIST im Jahr 2000 aus einem öffentlichen Wettbewerb mit 15 Kandidaten auswählte. Der Siegerentwurf war Rijndael der belgischen Kryptografen Joan Daemen und Vincent Rijmen, formalisiert als FIPS PUB 197 am 26. November 2001. NIST genehmigt drei Schlüsselgrößen (128, 192, 256 Bit), und die NSA genehmigt alle drei für SECRET-Daten, wobei AES-256 auch für TOP SECRET genehmigt ist. Nach mehr als zwei Jahrzehnten öffentlicher Prüfung gibt es noch immer keinen praktischen Angriff auf korrekt implementiertes AES, die Chiffre selbst ist im Grunde nicht zu brechen, sodass sich das Sicherheitsargument vollständig auf die Schlüsselverwaltung und die Passwortstärke verlagert.
Eine Blockchiffre wie AES verschlüsselt nur einen einzigen 128-Bit-Block fester Größe, sodass jede echte Nachricht einen Betriebsmodus braucht, um Blöcke zusammenzukleben. Der Modus ist genauso wichtig wie die Chiffre. Der berüchtigte alte Standard, ECB: verschlüsselt jeden Block unabhängig, was Muster preisgibt; das berühmte „ECB-Pinguin“-Bild von Tux, das nach der Verschlüsselung noch erkennbar ist, ist die übliche warnende Illustration. Viele ältere Online-„AES“-Tools bieten noch immer ECB an; dieses tut es nicht.
GCM (Galois/Counter Mode), entworfen von McGrew und Viega und von NIST in SP 800-38D (November 2007) standardisiert, kombiniert Counter-Mode-Verschlüsselung mit einem Galois-Feld-Authentifizierungstag. Es ist ein AEAD-Modus (Authenticated Encryption with Associated Data), das heißt, er bietet Vertraulichkeit und Integrität in einer Operation. Wenn ein einziges Byte der verschlüsselten Ausgabe gekippt wird, löst die Entschlüsselung einen Fehler aus, statt verstümmelten Klartext zurückzugeben. Denselben Modus verwenden TLS 1.2 und TLS 1.3. Er ist wahrhaftig das Arbeitstier der modernen Internetkryptografie.
Ein Passwort ist kein Schlüssel
Ein AES-256-Schlüssel besteht aus 32 Byte gleichmäßiger Zufälligkeit. Das Passwort eines Nutzers (selbst ein starkes) ist kurz, größtenteils druckbares ASCII und ballt sich um Wörterbuchmuster. Sie können ein Passwort nicht ohne Hilfe direkt in AES einspeisen. Diese Hilfe ist eine passwortbasierte Schlüsselableitungsfunktion (KDF). PBKDF2, scrypt und Argon2 sind die drei, die Ihnen in modernem Code begegnen:
- PBKDF2 (RFC 8018), das Original. Iteriert eine HMAC-Pseudozufallsfunktion viele Male. Schnell auf einer CPU, aber nicht speicherhart: GPUs und ASICs knacken PBKDF2-Hashes viel schneller, als die Iterationszahl auf einem normalen Computer vermuten ließe. Dieses Tool verwendet PBKDF2, weil es die einzige Passwort-KDF ist, die die Web Crypto API nativ bereitstellt, Argon2 und scrypt würden zusätzliches JavaScript oder WebAssembly erfordern.
- scrypt (RFC 7914, 2016, von Colin Percival)) fügte Speicherhärte hinzu: zwingt einen Angreifer, pro Versuch einen großen RAM-Block zu belegen, was billige parallele Hardware aushebelt.
- Argon2id (RFC 9106, 2021), Gewinner der Password Hashing Competition 2015; OWASPs derzeitige erste Wahl. Speicherhart, seitenkanalresistent.
Ehrlicher Vorbehalt: 100.000 PBKDF2-Iterationen liegen weit über der ursprünglichen RFC-Untergrenze von 1.000, aber unter OWASPs aktueller Empfehlung von 2026 von 600.000 für PBKDF2-SHA-256. Der Kompromiss ist die Verschlüsselungszeit auf langsamen Telefonen, bei 600.000 Iterationen beginnt das Ableiten eines Schlüssels auf einem günstigen Android-Gerät, eine merkliche Pause hinzuzufügen. Wählen Sie für langfristige Geheimnisse mit hohem Risiko ein längeres Passwort zum Ausgleich, oder verwenden Sie einen dedizierten Passwortmanager, der typischerweise Argon2id mit stärkeren Parametern verwendet.
Salt und IV, sie sehen ähnlich aus, sie tun Verschiedenes
- Salt ist Eingabe für die Schlüsselableitung. Es macht die Zuordnung Passwort→Schlüssel pro Verschlüsselung einzigartig, sodass ein gestohlener Geheimtext nicht mit einer vorberechneten Tabelle von Schlüsseln gängiger Passwörter geknackt werden kann. Das Salt muss nicht geheim sein, nur einzigartig und unvorhersehbar.
- IV / Nonce ist Eingabe für den Chiffrenmodus. Speziell für AES-GCM ist es der 96-Bit-Zähler-Startpunkt. Es muss pro (Schlüssel, Nachricht)-Paar einzigartig sein; eines wiederzuverwenden ist in GCM katastrophal, es lässt einen Angreifer den GHASH-Schlüssel wiederherstellen und beliebige Geheimtexte fälschen. Das Tool erzeugt bei jeder Verschlüsselung einen frischen zufälligen IV aus
crypto.getRandomValues, was dieses Risiko vermeidet.
Wann Sie dies verwenden sollten und wann nicht
Das richtige Werkzeug, wenn:
- Sie eine einzelne geheime Nachricht über einen nicht vertrauenswürdigen Kanal teilen müssen (E-Mail, Slack, SMS, eine Notizen-App) und Sie einen separaten vertrauenswürdigen Kanal haben (ein Telefonanruf, ein persönliches Treffen, ein Signal-Chat), über den Sie das Passwort übergeben können.
- Sie ein Snippet lokal verschlüsseln wollen, bevor Sie es in ein Cloud-Dokument oder eine Notiz-App einfügen, sodass die Inhalte selbst bei einem Einbruch beim Anbieter unlesbar sind.
- Sie einen „versiegelten Umschlag“ brauchen, der an einen Arbeitsablauf mit einem Partner angehängt ist, der sich mündlich auf ein Passwort geeinigt hat.
Das falsche Werkzeug, wenn:
- Sie und Ihr Empfänger kein vorab geteiltes Geheimnis und keinen Out-of-Band-Kanal haben. Das Passwort über denselben Kanal wie den Geheimtext zu senden, ist sinnlos, jeder, der den Geheimtext lesen kann, kann auch das Passwort lesen. Das ist das klassische Henne-Ei-Schlüsselverteilungsproblem, zu dessen Lösung die Public-Key-Kryptografie existiert.
- Sie Forward Secrecy brauchen. Signal und TLS 1.3 erzeugen für jede Sitzung einen anderen ephemeren Schlüssel, sodass ein Leck heute keine vergangenen Nachrichten preisgibt. Ein einziges festes Passwort gibt die gegenteilige Eigenschaft: Jeder, der das Passwort erfährt, kann jede Nachricht entschlüsseln, die Sie je damit verschlüsselt haben.
- Sie beweisen müssen, wer etwas verschlüsselt hat. AES mit einem geteilten Passwort beweist den Besitz des Passworts, nicht die Urheberschaft. Verwenden Sie für digitale Signaturen PGP, age oder S/MIME.
- Sie in großem Maßstab oder für viele Empfänger verschlüsseln. Jeder Empfänger braucht ein separat geteiltes Passwort, und die Rotation ist mühsam. Asymmetrische Werkzeuge (age, PGP) und Schlüsselserver im Signal-Stil bewältigen das besser.
Ein nützliches Gedankenmodell: AES mit einem Passwort ist das digitale Äquivalent eines Koffer-Vorhängeschlosses, kombiniert mit einem Telefonanruf, um die Kombination zu teilen. Es funktioniert einwandfrei, wenn Sie dem Telefonanruf vertrauen können. Es ist kein Ersatz für Ende-zu-Ende-verschlüsseltes Messaging wie Signal, das den Schlüsselaustausch automatisiert und durch sein Double-Ratchet-Protokoll Forward Secrecy bietet.
Wie stark ist „stark genug“ für das Passwort?
Weil die Chiffre selbst nicht zu brechen ist, ruht die gesamte Sicherheit des Verfahrens auf Ihrem Passwort. Die relevante Mathematik ist die Entropie: H = L × log₂(N), wobei L die Länge und N die Größe des Zeichensatzes ist, aus dem Sie zufällig schöpfen. Durchgerechnete Beispiele:
- 8 zufällige Kleinbuchstaben → etwa 37 Bit. Auf einer modernen GPU in Stunden zu knacken.
- 8 Zeichen mit Groß-/Kleinschreibung, Ziffern und Symbolen → etwa 52 Bit. Stunden bis Tage bei modernen Geschwindigkeiten.
- 12 Zeichen mit Groß-/Kleinschreibung, Ziffern und Symbolen → etwa 79 Bit. Jenseits praktischer Angriffsbudgets auf absehbare Zeit.
- Sechs zufällige Wörter aus einer 7.776-Wörter-Diceware-Liste → etwa 78 Bit. Ungefähr dieselbe Sicherheit wie 12 zufällige Zeichen, aber weit leichter zu merken.
Von Menschen gewählte Passwörter sind dramatisch schwächer: In der NIST-Richtlinie zitierte Forschung schätzt den Durchschnitt auf etwa 40 Bit, weshalb Wörterbuchangriffe gegenüber reiner Brute Force dominieren. Der aktuelle Rat von NIST SP 800-63B für gemerkte Geheimnisse: mindestens 8 Zeichen, mindestens 64 erlauben, keine Zusammensetzungsregeln auferlegen (sie drängen Nutzer zu vorhersehbaren Mustern wie Password1!), keine regelmäßige Rotation verlangen und gegen Listen bekannter geleakter Passwörter prüfen. Streben Sie „lang, einprägsam, nie in einem Leck gewesen“ an. Eine Vier-bis-sechs-Wörter-Zufalls-Passphrase, die Sie sich tatsächlich merken können, schlägt jedes Mal ein gequältes 8-Zeichen-„komplexes“ Passwort.
Wo es neben anderen Verschlüsselungswerkzeugen steht
- TLS / HTTPS verschlüsselt während der Übertragung zwischen Ihnen und einem Server. Der Server selbst kann alles lesen, sobald es ankommt. Löst das Lauscher-Problem, nicht das Server-Problem.
- Signal / WhatsApp / iMessage sind vollständige Ende-zu-Ende-Verschlüsselung mit automatischem Schlüsselaustausch und Forward Secrecy. Lösen beides, erfordern aber, dass beide Parteien dieselbe App verwenden.
- PGP / age sind asymmetrisch, Sie verschlüsseln auf den veröffentlichten öffentlichen Schlüssel von jemandem, ohne zuerst ein geteiltes Geheimnis zu brauchen. Löst die Schlüsselverteilung, war aber historisch mühsam zu verwenden;
ageist die moderne minimalistische Alternative. - Festplattenverschlüsselung auf Betriebssystemebene (FileVault, BitLocker, LUKS) verschlüsselt ruhende Daten auf einem einzelnen Gerät mit AES-XTS. Anderes Bedrohungsmodell: schützt vor Gerätediebstahl, nicht vor Netzwerkabhören.
- Passwortmanager verwenden AES-GCM (oder Ähnliches) mit starken KDFs (heute typischerweise Argon2id) innerhalb eines verschlüsselten Tresors, der Geheimtext über ein Anbieter-Backend synchronisiert, das ihn nicht lesen kann.
Ein passwortbasierter Textverschlüsseler ist das am wenigsten spezialisierte Mitglied dieser Familie, reine Kryptografie ohne Meinung zu Identität, Transport oder Speicherung. Dieser Minimalismus ist der Reiz: Es ist das richtige Werkzeug, wenn Sie speziell nur AES-256 mit einem Passwort und nichts anderes brauchen.
Weitere Fragen
Ist dies Ende-zu-Ende-verschlüsselt?
In einem Sinne ja, die Verschlüsselung geschieht vollständig in Ihrem Browser, und Absolutool sieht nie den Klartext oder das Passwort. In dem strengen Sinne, den Messaging-Produkte wie Signal verwenden, nein: Signal bietet zusätzlich automatischen asymmetrischen Schlüsselaustausch und Identitätsbindung, sodass Nutzer keinen separaten vertrauenswürdigen Kanal brauchen, um ein Passwort zu teilen. Dieses Tool erledigt die Verschlüsselungshälfte ohne diese Extras, was die Passwortübergabe zu Ihrer Verantwortung macht.
Gibt es eine „Passwort vergessen“-Wiederherstellung?
Nein, von Natur aus. Das Tool sieht nie Ihr Passwort und speichert nichts. Wenn Sie das Passwort verlieren, ist der verschlüsselte Text nicht wiederherstellbar. Speichern Sie das Passwort in einem Passwortmanager oder schreiben Sie es irgendwo physisch auf.
Warum sieht die verschlüsselte Ausgabe wie zufälliges Base64 aus?
Weil es genau das ist. Das Salt, der IV und der Geheimtext samt Authentifizierungstag werden zu einem einzigen Binär-Blob verkettet und Base64-codiert, sodass das Ergebnis sicher durch Systeme reist, die druckbares ASCII erwarten (E-Mail, JSON, Query-Strings). Alle drei Komponenten werden bei der Entschlüsselung benötigt, weshalb sie zusammen verpackt werden, das Tool extrahiert sie erneut, wenn Sie den Blob wieder einfügen.
Ist AES-256 irgendwo illegal?
Massenmarkt-Kryptografie ist in praktisch jedem verbrauchernahen Produkt weltweit zum Stand 2026 weitgehend legal. Die US-amerikanischen Crypto Wars der 1990er-Jahre endeten mit der Executive Order 13026 (1996) und der Massenmarkt-Lockerung von 2000. Bestimmte mit einem Embargo belegte Ziele (Iran, Nordkorea, Syrien, Kuba) und eine Handvoll Länder mit eigenen Import- oder Nutzungsbeschränkungen für starke Kryptografie (darunter China, Russland, Vietnam und Saudi-Arabien) sollten Sie weiterhin gegen das lokale Recht prüfen, wenn Sie das Tool in diesen Rechtsräumen verwenden.
Wird irgendetwas an einen Server gesendet?
Nein. Die Web Crypto API läuft nativ im Browser; crypto.subtle ruft dieselbe Krypto-Bibliothek auf, die der Browser für TLS verwendet (BoringSSL bei Chrome, NSS bei Firefox, CommonCrypto bei Safari). Nichts verlässt Ihr Gerät. Die Seite erfordert außerdem HTTPS, was vom Browser erzwungen wird, Web Crypto ist nur in sicheren Kontexten verfügbar, um zu verhindern, dass ein Netzwerkangreifer das JavaScript austauscht, bevor es ausgeführt wird.