A criptografia AES de 128 e 256 bits é considerada fraca?

Uma recente quebra de AES-256 descrita por Bruce Schneier em seu post de 30 de julho de 2009, Outro novo ataque AES

There are three reasons not to panic:

1. The attack exploits the fact that the key schedule for 256-bit version
   is pretty lousy -- something we pointed out in our 2000 paper -- but doesn't extend
   to AES with a 128-bit key.
   • It's a related-key attack, which requires the cryptanalyst to have access to
     plaintexts encrypted with multiple keys that are related in a specific way.
   • The attack only breaks 11 rounds of AES-256. Full AES-256 has 14 rounds.

Not much comfort there, I agree. But it's what we have. Cryptography is all about safety margins. If you can break n rounds of a cipher, you design it with 2n or 3n rounds. What we're learning is that the safety margin of AES is much less than previously believed. And while there is no reason to scrap AES in favor of another algorithm, NIST should increase the number of rounds of all three AES variants. At this point, I suggest AES-128 at 16 rounds, AES-192 at 20 rounds, and AES-256 at 28 rounds. Or maybe even more; we don't want to be revising the standard again and again.

And for new applications I suggest that people don't use AES-256. AES-128 provides more than enough security margin for the forseeable future. But if you're already using AES-256, there's no reason to change.

The paper I have is still a draft. It is being circulated among cryptographers, and should be online in a couple of days. I will post the link as soon as I have it (paper ref).

_{A citação acima tem destaques relevantes para a pergunta e para o mudanças tipográficas suaves que fiz.
Schneier provavelmente estava digitando mais devagar, então ele pensa ...
A referência original está vinculada para os puristas.}

Por fim, se você quiser ver o que alguns usuários do Stackoverflow querem dizer, É possível fazer engenharia reversa do AES256?

Resposta curta: não. Pelo menos por enquanto.

Houve um ataque publicado contra o AES128 que, se bem me lembro, bateu um pouco mais ou menos na força efetiva da combinação de algoritmo e tamanho de chave usada.

Os vetores de ataque mais recentes identificados contra o AES256 são potencialmente mais sérios, já que poderiam, teoricamente, empurrar a força efetiva abaixo de AES-128 , mas apenas em certas circunstâncias muito específicas . IIRC estes vetores de ataque não são práticos no mundo real. No entanto, eles estão sendo levados a sério pela comunidade de criptografia, já que a existência de um método de ataque impraticável, mas possível, pode levar à descoberta / desenvolvimento de uma prática mais prática no mundo real.

Bruce Schneier discutiu isso em seu blog em 2009-07-30. Superficialmente, parece que o AES-192 e o AES-256 podem ser menos strongs que o AES-128. Embora os algoritmos estejam seguros por enquanto, como diz David Spillet em sua resposta, há questões que estão sendo levantadas agora e (como Bruce Schneier diz na entrada do blog) "Isso prova o ditado do criptógrafo: os ataques sempre melhoram, eles nunca pioram ".

A resposta é "depende". O governo dos EUA considera-os seguros o suficiente para informações "não classificadas" ( link ), a menos que você esteja armazenar coisas como o que está realmente acontecendo na Área 51 elas devem ser suficientes. Acredito que foram descobertos ataques potenciais (em cenários improváveis) contra eles, mas os métodos usados são realmente viáveis para o hacker casual ou script kiddie? E, de qualquer forma, um ataque potencial não torna um algoritmo "fraco".

Leia mais aqui: link