<div dir="ltr">On Sun, Sep 8, 2013 at 3:33 PM, Perry E. Metzger <span dir="ltr"><<a href="mailto:perry@piermont.com" target="_blank">perry@piermont.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">What's the current state of the art of attacks against AES? Is the<br>


advice that AES-128 is (slightly) more secure than AES-256, at least<br>
in theory, still current?</blockquote><div><br></div><div>No. I assume that advice comes from related key attacks on AES, and Bruce Schneier's blog posts about them:</div><div><br></div><div><a href="https://www.schneier.com/blog/archives/2009/07/new_attack_on_a.html">https://www.schneier.com/blog/archives/2009/07/new_attack_on_a.html</a></div>

<div><a href="https://www.schneier.com/blog/archives/2009/07/another_new_aes.html">https://www.schneier.com/blog/archives/2009/07/another_new_aes.html</a></div><div><br></div><div>For some reason people read these blog posts and thought, for whatever reason, that Schneier recommends AES-128 over AES-256. However, that is not the case. Here's a relevant page from Schneier's book Cryptography Engineering in which he recommends AES-256 (or switching to an algorithm without known attacks):</div>

<div><br></div><div><a href="https://pbs.twimg.com/media/BEvLoglCcAAqg4E.jpg">https://pbs.twimg.com/media/BEvLoglCcAAqg4E.jpg</a> <br></div></div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>