128 和 256 位 AES 加密是否被认为是弱的？

Bruce Schneier 在其 2009 年 7 月 30 日的帖子中描述了最近的一次 AES-256 破解，
另一种新的 AES 攻击

原因有三不是恐慌：

1. 这次攻击利用了 256 位版本的密钥安排
   相当糟糕的事实 - 我们在 2000 年的论文中指出了这一点 - 但并没有扩展
   到使用 128 位密钥的 AES。
   • 这是一种相关密钥攻击，要求密码分析者能够访问
     用以特定方式相关的多个密钥加密的明文。
   • 此次攻击仅破坏了 AES-256 的 11 轮。完整的 AES-256 有 14 轮。

我同意，这没什么安慰作用。但这就是我们所拥有的。密码学完全是关于安全边界的。如果你能破解n密码的轮次，你用2n或者3n轮数。我们了解到 AES 的安全裕度比之前认为的要小得多。虽然没有理由放弃 AES 而采用其他算法，但 NIST 应该增加所有三种 AES 变体的轮数。此时，我建议 AES-128 为 16 轮，AES-192 为 20 轮，AES-256 为 28 轮。或者甚至更多；我们不想一次又一次地修改标准。

和对于新应用程序，我建议不要使用 AES-256。AES-128 在可预见的未来提供了足够的安全余量。但是如果你已经在使用 AES-256，则无需更改。

我手上的论文还只是草稿。它正在密码学家中流传，几天后应该会上线。我一拿到它就会发布链接（论文参考）。

_{上面的引文重点突出了与问题相关的内容，
我做了一些轻微的排版更改。Schneier
的打字速度可能比他想象的要慢……
原始参考资料已链接到纯粹主义者那里。}

最后，如果你想看看一些 Stackoverflow 用户想说什么，
是否可以对 AES256 进行逆向工程？

简短回答：没有。至少目前没有。

曾经有一个针对 AES128 的公开攻击，如果我没记错的话，这次攻击稍微削弱了所使用的算法和密钥大小组合的有效强度。

针对 AES256 识别出的近期攻击媒介可能更为严重，因为它们理论上可能将有效强度推低至 AES-128 以下但仅限于某些非常特殊的情况。如果我没记错的话，这些攻击媒介在现实世界中并不实用。但它们受到了加密社区的重视，因为一种不切实际但可行的攻击方法的存在可能会导致发现/开发一种更适合现实世界的实用方法。

Bruce Schneier 在他的博客2009-07-30。从表面上看，AES-192 和 AES-256 的强度可能不如 AES-128。尽管这些算法目前是安全的，但正如 David Spillet 在其回答中所说，现在出现了一些问题，并且（正如 Bruce Schneier 在链接的博客文章中所说）“这再次证明了密码学家的格言：攻击总是越来越好，永远不会变得更糟”。

答案是“视情况而定”。美国政府认为它们对于“非机密”信息来说足够安全（http://www.cnss.gov/Assets/pdf/cnssp_15_fs.pdf）所以除非你存储的是真的51 区应该足够了。我相信潜在的针对它们的攻击（在不太可能的情况下）已经被发现，但这些方法对于普通黑客或脚本小子来说真的可行吗？而且无论如何潜在的攻击不会使算法变得“弱”。

更多详情请阅读：http://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Security