este artículo de wikipedia que describe AES dice:
Los ataques de teclas relacionadas pueden romper AES-192 y AES-256 con complejidades 2 ^ 176 y 2 ^ 99.5, respectivamente.
¿Esto significa que AES-256 es en realidad una forma de cifrado más débil que AES-192? Actualmente estoy escribiendo un pequeño programa de administrador de contraseñas, ¿cuál debería usar? También sería bueno si alguien pudiera explicar la debilidad de AES-256 en comparación con AES-192.
Los ataques de claves relacionadas son propiedades matemáticas interesantes de los algoritmos, pero no tienen un impacto práctico en la seguridad de los sistemas de cifrado , siempre y cuando se utilicen para lo que fueron diseñados, es decir, cifrado (y no, por ejemplo, como bloques de construcción para funciones hash).
Más grande no es necesariamente mejor . No hay una necesidad práctica de usar una clave de 256 bits sobre una clave de 192 bits o una clave de 128 bits. Sin embargo, AES con una clave de 128 bits es ligeramente más rápido (esto no es significativo en la mayoría de las aplicaciones), por lo que puede haber una razón objetiva no para usar claves más grandes. Además, AES-128 es más compatible que otros tamaños de clave (por ejemplo, fuera de EE. UU., AES-128 está disponible de forma predeterminada con Java, mientras que los tamaños de clave más grandes deben activarse explícitamente).
Ninguno de AES-128, AES-192 o AES-256 es rompible con la tecnología de hoy (o de mañana) ( si se aplican correctamente, es decir). Trate de averiguar qué 2 99.5 es: es ... algo grande.
Thomas está en lo correcto (como es habitual), pero también hay otras razones no técnicas para usar "grados" de encriptación particulares.
En ciertas clasificaciones, está obligado a usar un tipo y una longitud de bit de clave particulares. El motivo de ello es garantizar que los datos se protejan durante al menos 30 años en lugar de 10 años. Sí, habrá ataques a los algoritmos, y disminuirán el nivel de esfuerzo necesario para aplicar la fuerza bruta. Mientras que las claves de 2 ^ 167 y 2 ^ 99,5 bits se encuentran de lleno en el territorio 'ridículo', dado el tiempo suficiente, la ley de Moore, y posiblemente incluso más / mejores ataques que reduzcan aún más la longitud clave efectiva, podríamos llegar al punto en el futuro cercano donde La fuerza bruta de AES-128 podría ser posible, pero la variedad 256 aún podría estar fuera de la capacidad computacional de cualquiera.
Esa es la apuesta que está haciendo para obtener longitudes de bits de clave más largas: puede romperse en 30 años pero no en 10 años, y para entonces, la información protegida no tendrá tanto impacto si los atacantes la descifran.
Lea otras preguntas en las etiquetas encryption aes