В июле и августе этого года были опубликованы интересные результаты атак на алгоритм шифрования AES-256.

Не вдаваясь в подробности, один из выводов исследования выглядят следующим образом. Алгоритмы AES-192 и AES-256 имеют уязвимость в фазе «Key Expansion» (Key Schedule), что в некоторых случаях делает AES-256 более уязвимым, чем AES-128. Этот факт противоречит идее, что шифр с более длинным ключом должен быть надежнее.

Хотя поводов для паники пока нет, в своем блоге эксперт по безопасности Брюс Шнайер оставил комментарий следующего содержания:

And for new applications I suggest that people don't use AES-256. AES-128 provides more than enough security margin for the forseeable future. But if you're already using AES-256, there's no reason to change.

Ознакомится с материалами на английском можно по ссылкам:
July 1, 2009. New Attack on AES
FAQ on the attacks
July 30, 2009. Another New AES Attack
Key Recovery Attacks of Practical Complexity on AES Variants With Up To 10 Rounds

Источник:
Хабрахабр - информационная безопастность