为什么无线键盘只使用128位AES？为什么不是256？

Question

我找过256位AES加密的无线键盘，显然它们不存在。有人能从密码学的角度来解释为什么吗？

为什么他们不选择使用最高标准的加密，而不是安顿下来的亚军呢？工业生产者决定使用AES-128而不是AES-256是否有任何密码学(或密切相关的)原因？

Answer 1

在任何实际意义上，AES-256并不比AES-128“好”。AES-128的破解几乎肯定会降低AES-256，而且128位密钥和256位密钥之间没有实际区别--在人类作为一个物种的未来中，没有人会破解128位密钥。

另一方面，对于这部分硬件，AES-256可能需要比AES-128更多的功率输出.我会用一个小时的电池寿命，因为一个毫无意义的差别，安全。该死的，我会多花五分钟的电池。

Answer 2

它是关于平衡安全性和可用性。

AES-128的安全性足以保护您的数据，而且比AES-256要快得多。为什么他们会选择一个更无用的安全保证金，而缺点是键盘的响应时间会更差。

我敢打赌，比起拥有疯狂的安全保证金，更多的人会抱怨反应时间太短。

Answer 3

一些评论已经提到，AES-128在实际意义上并不比AES-256逊色.

在键盘上，这是双重事实。首先，您的威胁模型是有人可以拦截、窃听和/或操纵您的键盘输入。这是转瞬即逝。所以你的攻击者要么倾听并记录很多，要么在正确的时机攻击你。这两种做法都不太可能让他获得最高级别的国家机密，在理论上，这种差异甚至会影响到这场攻击。

考虑到威胁，即使是较弱的加密也是绝对可以的。然而，现在AES-128实际上比大多数人想象的更接近AES-256，因为存在着对AES-256和AES-192的攻击，它们的有效密钥长度分别减少到176和119。此攻击不影响AES-128。(见，例如施奈尔斯员额)。

对这些关键长度中的任何一个进行实际攻击，即使对国家行为者来说，也是不可挽回的时间。

如果把它与威胁模型结合起来，那么在键盘上使用AES-256根本没有任何理由，如果它的价格还要高出一分钱的话。