AES128在非量子计算环境下无法破解,AES128一共有10轮运算,16byte密钥。
AES256一共有14轮轮运算,32byte密钥,所以效率只是AES128的百分之70。然而,NIST要求绝密级文件必须使用AES192或者256。这是因为量子计算技术。现存的量子算法可以降低穷尽密钥搜索的复杂度。AES128在量子算法看来,只提供64位的安全性,等于个DES。够用,况且量子计算机尚未诞生,只是理论产物。但NSA仍然谨慎有加。仅此而已。
AES256还有一个不如128的地方,易受相关钥匙攻击。不过对于加密应用来讲,不是问题,因为加密应用不使用相关钥匙。但是他会影响到以AES256为primitive的混淆算法,如HIROSE-AES-256。