<div dir="ltr">On Wed, Oct 2, 2013 at 8:13 PM, Ray Dillinger <span dir="ltr"><<a href="mailto:bear@sonic.net" target="_blank">bear@sonic.net</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div><span style="color:rgb(34,34,34)">Leaving aside the question of whether anyone "weakened" it, is it</span><br></div>
true that AES-256 provides comparable security to AES-128?</blockquote><div><br></div><div>No, there's a common misconception that the related key attacks make AES-256 worse than AES-128 because AES-128 is not susceptible to these attacks. The alleged source of this information is a Bruce Schneier blog post (which is fine in and of itself, it's being misinterpreted).</div>

<div><br></div><div>In Schneier et al's book Cryptography Engineering he recommends AES-256 over AES-128, despite the flaws, but suggests we might consider looking for a better cipher at this point. The rationale is that AES-256 still provides a wider security margin.</div>

</div><div><br></div>-- <br>Tony Arcieri<br>
</div></div>