AES-256 vs AES-128: czy długość klucza naprawdę ma znaczenie?

Zarówno AES-128, jak i AES-256 są uważane za kryptograficznie bezpieczne wobec wszystkich znanych ataków na klasycznych komputerach. Atak brute-force na AES-128 wymaga wypróbowania 2¹²⁸ możliwych kluczy — liczba tak duża, że złamanie go zajęłoby dłużej niż wiek wszechświata, nawet przy użyciu każdego komputera na Ziemi.

AES-256 podwaja długość klucza, dając 2²⁵⁶ kombinacji. Praktyczna różnica w bezpieczeństwie wobec klasycznego sprzętu jest dziś efektywnie zerowa.

Dlaczego więc mbox.pl używa AES-256-GCM? Dwa powody.

Odporność kwantowa. Algorytm Grovera uruchomiony na wystarczająco potężnym komputerze kwantowym mógłby teoretycznie zmniejszyć efektywną siłę klucza o połowę. AES-256 zostałby zredukowany do poziomu bezpieczeństwa AES-128 — co nadal jest bezpieczne, ale 128 bitów stałoby się podłogą, a nie sufitem dla długożyjących wrażliwych danych.

Zgodność z normami. Instytucje finansowe, rządy i standardy takie jak SOC 2 i ISO 27001 określają AES-256 jako minimum. Używanie 256-bitowych kluczy oznacza, że Twoje dane spełniają wymagania bez gwiazdek w raportach audytowych. Szczególnie widać to w architekturach, w których serwer nigdy nie widzi tekstu jawnego, co opisuję szerzej w tekście jak działa szyfrowanie zero-knowledge.

Jest też powód czysto inżynierski. W produktach do bezpiecznej komunikacji awarie rzadko wynikają z tego, że ktoś matematycznie brute-force'uje AES. Zwykle problemem jest wyciek klucza, zły nonce, ponowne użycie sekretu albo ekspozycja tekstu jawnego w innym miejscu stosu. Wybór AES-256 nie naprawia błędów implementacyjnych, ale eliminuje pytanie, dlaczego wybrano mniejszy margines bezpieczeństwa, skoro koszt użycia 256-bitowego szyfrowania na nowoczesnym sprzęcie jest znikomy.

Tryb GCM jest równie istotny: zapewnia zarówno poufność, jak i integralność — wykrywa wszelką manipulację szyfrogramem przed jego odszyfrowaniem. Od strony zgodności ta mocniejsza historia bezpieczeństwa przekłada się też na ocenę naruszeń i obowiązki raportowe pod RODO.

Kiedy ta różnica naprawdę ma znaczenie w praktyce

Najłatwiej zrozumieć to na konkretnych scenariuszach. Jeżeli szyfrujesz krótkotrwałe dane sesyjne albo pliki, które stracą znaczenie po kilku dniach, przewaga AES-256 nad AES-128 będzie dziś głównie argumentem zgodności i marginesu bezpieczeństwa. Jeśli jednak mówimy o dokumentach kadrowych, materiałach prawnych, archiwach medycznych albo wiadomościach przechowywanych latami, decyzja o większym zapasie kryptograficznym staje się rozsądniejsza strategicznie.

To samo dotyczy rozmowy z klientem lub audytorem. Z perspektywy użytkownika końcowego oba algorytmy mogą wyglądać podobnie, ale w praktyce dużo łatwiej obronić architekturę opartą o AES-256-GCM, gdy w grę wchodzi poufność długoterminowa, standardy branżowe i pytania o przyszłą odporność modelu. Wtedy odpowiedź nie brzmi: użyliśmy wystarczająco dobrego minimum. Brzmi: użyliśmy wariantu, który daje większy margines bez istotnego kosztu operacyjnego.

Dlatego pytanie o długość klucza nie jest akademickie. Ono wraca zawsze wtedy, gdy organizacja chce przechowywać wrażliwe dane dłużej, ograniczyć dyskusję podczas audytu i nie tłumaczyć później, dlaczego wybrała węższy zapas bezpieczeństwa, skoro praktyczny koszt mocniejszego wariantu był znikomy.