2026-04-07
SecurityAES-256 vs AES-128: czy długość klucza naprawdę ma znaczenie?
Oba są dziś uważane za nie do złamania. Dlaczego więc mbox.pl wybiera konkretnie AES-256 — i kiedy ta różnica zaczyna mieć znaczenie?
AES-256 vs AES-128 — kiedy długość klucza ma znaczenie?
Oba są bezpieczne dla klasycznych komputerów. Różnica ujawnia się gdy myślisz 10 lat naprzód.
Zarówno AES-128, jak i AES-256 są uważane za kryptograficznie bezpieczne wobec wszystkich znanych ataków na klasycznych komputerach. Atak brute-force na AES-128 wymaga wypróbowania 2128 możliwych kluczy — liczba tak duża, że złamanie go zajęłoby dłużej niż wiek wszechświata, nawet przy użyciu każdego komputera na Ziemi.
AES-256 podwaja długość klucza, dając 2256 kombinacji. Praktyczna różnica w bezpieczeństwie wobec klasycznego sprzętu jest dziś efektywnie zerowa.
Dlaczego więc mbox.pl używa AES-256-GCM? Dwa powody.
Odporność kwantowa. Algorytm Grovera uruchomiony na wystarczająco potężnym komputerze kwantowym mógłby teoretycznie zmniejszyć efektywną siłę klucza o połowę. AES-256 zostałby zredukowany do poziomu bezpieczeństwa AES-128 — co nadal jest bezpieczne, ale 128 bitów stałoby się podłogą, a nie sufitem dla długożyjących wrażliwych danych.
Zgodność z normami. Instytucje finansowe, rządy i standardy takie jak SOC 2 i ISO 27001 określają AES-256 jako minimum. Używanie 256-bitowych kluczy oznacza, że Twoje dane spełniają wymagania bez gwiazdek w raportach audytowych. Szczególnie widać to w architekturach, w których serwer nigdy nie widzi plaintextu, co opisuję szerzej w tekście jak działa szyfrowanie zero-knowledge.
Jest też powód czysto inżynierski. W produktach do bezpiecznej komunikacji awarie rzadko wynikają z tego, że ktoś matematycznie brute-force'uje AES. Zwykle problemem jest wyciek klucza, zły nonce, ponowne użycie sekretu albo ekspozycja tekstu jawnego w innym miejscu stosu. Wybór AES-256 nie naprawia błędów implementacyjnych, ale eliminuje pytanie, dlaczego wybrano mniejszy margines bezpieczeństwa, skoro koszt użycia 256-bitowego szyfrowania na nowoczesnym sprzęcie jest znikomy.
Tryb GCM jest równie istotny: zapewnia zarówno poufność, jak i integralność — wykrywa wszelką manipulację szyfrogramatem przed jego odszyfrowaniem. Od strony zgodności ta mocniejsza historia bezpieczeństwa przekłada się też na ocenę naruszeń i obowiązki raportowe pod RODO.
Pytania o siłę szyfrowania
Czy AES-256 kiedykolwiek został złamany?
Nie. Istnieją teoretyczne ataki related-key na zredukowane rundy, ale żaden praktyczny atak na pełny AES-256 się nie powiódł. Pozostaje złotym standardem szyfrowania symetrycznego.
Czy AES-256 sprawia, że aplikacja jest zauważalnie wolniejsza?
Nie na nowoczesnym sprzęcie. Procesory od około 2010 roku zawierają sprzętowe przyspieszenie AES-NI. Różnica wydajności między AES-128 a AES-256 wynosi zazwyczaj poniżej 20% i jest niezauważalna w normalnym użytkowaniu.
Co to jest tryb GCM i dlaczego ma znaczenie?
Tryb Galois/Counter to tryb uwierzytelnionego szyfrowania. Generuje zarówno szyfrogramat, jak i znacznik uwierzytelnienia. Jeśli szyfrogramat zostanie zmanipulowany w trakcie przesyłania, odszyfrowanie kończy się błędem — chroniąc przed atakami polegającymi na manipulacji danymi.
Czy to znaczy, że AES-128 jest dziś złą praktyką?
Nie. AES-128 pozostaje silnym i akceptowanym standardem. Argument za AES-256 nie polega na tym, że AES-128 jest złamany, lecz na tym, że koszt wydajnościowy jest niski, zgodność z normami prostsza, a długoterminowy margines bezpieczeństwa większy.