128位和256位AESencryption算是弱？

最近由布鲁斯·施奈尔（Bruce Schneier）在2009年7月30日发表的一篇文章中提到，
另一个新的AES攻击

有三个理由不要惊慌：

1. 攻击利用了256位版本的关键调度
   是非常糟糕的 – 我们在2000年的论文中指出 – 但没有延伸
   AES与128位密钥。
   • 这是一个相关密钥攻击，需要密码分析人员才能访问
     用多个以特定方式关联的密钥encryption的明文。
   • 攻击只打破了11轮AES-256。 完整的AES-256有14轮。

那里没有太多的安慰，我同意。 但这是我们的。 密码学是关于安全边际的。 如果你能打破n轮密码，你用2n或3n轮devise它。 我们正在学习的是，AES的安全裕度比以前认为的要小得多。 虽然没有理由废除AES而select另一种algorithm，但NIST应增加所有三种AES变体的回合数。 在这一点上，我build议16轮AES-128，20轮AES-192，28轮AES-256 。 或者甚至更多; 我们不想一次又一次地修改标准。

而对于新的应用程序，我build议人们不要使用AES-256 。 AES-128为可预见的未来提供了足够的安全余量。 但是如果你已经使用AES-256，那么没有理由改变 。

我的论文还是草案。 它正在密码学家之间传播，应该在几天内上网。 我将尽快发布链接（ 参考文献 ）。

_{上面的报价有重点与问题和
我做了轻微的印刷变化。
Schneier可能打字速度较慢，他认为…
原始的参考是纯粹主义者联系在一起的。}

最后，如果你想看看一些Stackoverflow的用户想说什么，
是否可以逆向工程AES256？

简短的回答：不。 至less目前来说。

有一个发表的攻击AES128，如果我记得正确地敲了一点或那么有效的algorithm和密钥大小组合使用。

针对AES256识别的更新的攻击载体可能更严重，因为它们理论上可以将有效强度推到AES-128以下的有效强度， 但仅限于某些非常特殊的情况 。 IIRC这些攻击媒介在现实世界中并不实用。 尽pipe如此，他们正在被密码社区认真对待，因为存在一个不切实际但可能的攻击方法可能会导致发现/开发一个更真实的实用攻击方法。

布鲁斯·施奈尔（Bruce Schneier）在他的博客 2009-07-30上讨论了这个问题 从表面上看，AES-192和AES-256可能不如AES-128强。 尽pipe目前的algorithm是安全的，正如David Spillet在他的回答中所说的那样，现在有人提出了一些问题，正如Bruce Schneier在相关博客中所说：“这再一次certificate了密码学家的谚语：攻击总是变得更好，他们永远不会变得更糟“。

答案是“这取决于”。 美国政府认为它们对于“非分类”信息是足够安全的（ http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf ），所以除非你存储像51区真正发生的东西，否则他们应该就足够了。 我相信已经发现了针对他们的潜在攻击（在不太可能发生的情况下），但是对于偶然的黑客或脚本小子来说真的可行吗？ 无论如何， 潜在的攻击不会使algorithm“弱”。

在这里阅读更多： http : //en.wikipedia.org/wiki/Advanced_Encryption_Standard#Security