Ho tirato fuori la mia copia di Crittografia applicata per rispondere a questa domanda riguardante la crittografia simmetrica, 256 è abbondante e probabilmente lo sarà per molto tempo. Schneier spiega;
Lunghezze di chiave più lunghe sono migliori, ma solo fino a un certo punto. AES avrà lunghezze di chiave di 128 bit, 192 bit e 256 bit. Questo è molto più lungo del necessario per il prossimo futuro. In effetti, non possiamo nemmeno immaginare un mondo in cui siano possibili ricerche di forza bruta a 256 bit. Richiede alcune scoperte fondamentali in fisica e la nostra comprensione dell'universo.
Una delle conseguenze della seconda legge della termodinamica è che una certa quantità di energia è necessaria per rappresentare le informazioni. Per registrare un singolo bit modificando lo stato di un sistema è necessaria una quantità di energia non inferiore a kT , dove T è la temperatura assoluta del sistema e k è la costante di Boltzman. (Rimani con me; la lezione di fisica è quasi finita.)
Dato che k = 1,38 × 10 −16 erg / K, e che il la temperatura ambiente dell'universo è di 3,2 Kelvin, un computer ideale che funziona a 3,2 K consumerebbe 4,4 × 10 −16 erg ogni volta che si imposta o si cancella un po '. Far funzionare un computer più freddo della radiazione cosmica di fondo richiederebbe energia extra per far funzionare una pompa di calore.
Ora, la produzione annuale di energia del nostro sole è di circa 1,21 × 10 41 erg. Questo è sufficiente per alimentare circa 2,7 × 10 56 modifiche a bit singolo sul nostro computer ideale; abbastanza cambiamenti di stato per mettere un contatore a 187 bit attraverso tutti i suoi valori. Se costruissimo una sfera di Dyson attorno al sole e catturassimo tutta la sua energia per 32 anni, senza alcuna perdita, potremmo alimentare un computer per contare fino a 2 192 . Ovviamente, non avrebbe l'energia residua per eseguire calcoli utili con questo contatore.
Ma questa è solo una stella, e anche misera. Una tipica supernova rilascia qualcosa come 10 51 erg. (Circa cento volte più energia verrebbe rilasciata sotto forma di neutrini, ma lasciateli andare per ora.) Se tutta questa energia potesse essere incanalata in una singola orgia di calcolo, un contatore da 219 bit potrebbe essere ciclato attraverso tutto dei suoi stati.
Questi numeri non hanno nulla a che fare con la tecnologia dei dispositivi; sono i massimi consentiti dalla termodinamica. E implicano fortemente che attacchi di forza bruta contro chiavi a 256 bit non saranno fattibili finché i computer non saranno costruiti da qualcosa di diverso dalla materia e occuperanno qualcosa di diverso dallo spazio.
L'audacia è una mia aggiunta.
Nota: si noti che questo esempio presuppone che esista un algoritmo di crittografia "perfetto". Se riesci a sfruttare i punti deboli dell'algoritmo, lo spazio della chiave potrebbe ridursi e ti ritroveresti con effettivamente meno bit della tua chiave.
Si presume anche che la generazione della chiave sia perfetta, producendo 1 bit di entropia per bit di chiave. Questo è spesso difficile da ottenere in un ambiente computazionale. Un meccanismo di generazione imperfetto potrebbe produrre 170 bit di entropia per una chiave a 256 bit. In questo caso, se il meccanismo di generazione della chiave è noto, la dimensione dello spazio di forza bruta è ridotta a 170 bit.
Supponendo che i computer quantistici siano fattibili, tuttavia, qualsiasi chiave RSA verrà rotta utilizzando l'algoritmo di Shor . (Vedi https://security.stackexchange.com/a/37638/18064)