Para "> 2030", NIST indica que el cifrado simétrico de 128 bits debe ser seguro hasta al menos el año 2030. Si la versión actual de cualquier software dado depende de La criptografía de 128 bits todavía existe en 17 años, bravo.
Como dijo Dan, el trabajo de NIST es ser pesimista sobre estas cosas, porque todos los escuchan, y porque la criptografía, en la fría luz del día, tiene un historial bastante malo; si, por ahora, hubiéramos desarrollado la primitiva de encriptación simétrica ideal (como en, podemos probar matemáticamente que hay no ataques más eficientes que la fuerza bruta) que usaron una longitud de clave finita (la OTP es demostrablemente demostrable porque usa una longitud de clave infinita), todavía lo estaríamos usando.
Tal como está, casi todos los sistemas criptográficos que se han ideado a lo largo de la historia de la humanidad se han resquebrajado, y mientras que los que se usan actualmente en la actualidad (una minoría de élite de todos los cifrados jamás inventados) se consideran seguros, es solo porque los mejores ataques conocidos contra ellos en este momento solo son mejores que la fuerza bruta cuando se aplican contra una versión del algoritmo de complejidad reducida (menos "rondas" de cifrado).