2026-03-21
securityAES-256 vs AES-128: czy długość klucza naprawdę ma znaczenie?
Oba są dziś uważane za nie do złamania. Dlaczego więc mbox.pl wybiera konkretnie AES-256 — i kiedy ta różnica zaczyna mieć znaczenie?
AES-256 vs AES-128 — kiedy długość klucza ma znaczenie?
Oba są bezpieczne dla klasycznych komputerów. Różnica ujawnia się gdy myślisz 10 lat naprzód.
Zarówno AES-128, jak i AES-256 są uważane za kryptograficznie bezpieczne wobec wszystkich znanych ataków na klasycznych komputerach. Atak brute-force na AES-128 wymaga wypróbowania 2128 możliwych kluczy — liczba tak duża, że złamanie go zajęłoby dłużej niż wiek wszechświata, nawet przy użyciu każdego komputera na Ziemi.
AES-256 podwaja długość klucza, dając 2256 kombinacji. Praktyczna różnica w bezpieczeństwie wobec klasycznego sprzętu jest dziś efektywnie zerowa.
Dlaczego więc mbox.pl używa AES-256-GCM? Dwa powody.
Odporność kwantowa. Algorytm Grovera uruchomiony na wystarczająco potężnym komputerze kwantowym mógłby teoretycznie zmniejszyć efektywną siłę klucza o połowę. AES-256 zostałby zredukowany do poziomu bezpieczeństwa AES-128 — co nadal jest bezpieczne, ale 128 bitów stałoby się podłogą, a nie sufitem dla długożyjących wrażliwych danych.
Zgodność z normami. Instytucje finansowe, rządy i standardy takie jak SOC 2 i ISO 27001 określają AES-256 jako minimum. Używanie 256-bitowych kluczy oznacza, że Twoje dane spełniają wymagania bez gwiazdek w raportach audytowych. Szczególnie widać to w architekturach, w których serwer nigdy nie widzi tekstu jawnego, co opisuję szerzej w tekście jak działa szyfrowanie zero-knowledge.
Jest też powód czysto inżynierski. W produktach do bezpiecznej komunikacji awarie rzadko wynikają z tego, że ktoś matematycznie brute-force'uje AES. Zwykle problemem jest wyciek klucza, zły nonce, ponowne użycie sekretu albo ekspozycja tekstu jawnego w innym miejscu stosu. Wybór AES-256 nie naprawia błędów implementacyjnych, ale eliminuje pytanie, dlaczego wybrano mniejszy margines bezpieczeństwa, skoro koszt użycia 256-bitowego szyfrowania na nowoczesnym sprzęcie jest znikomy.
Tryb GCM jest równie istotny: zapewnia zarówno poufność, jak i integralność — wykrywa wszelką manipulację szyfrogramem przed jego odszyfrowaniem. Od strony zgodności ta mocniejsza historia bezpieczeństwa przekłada się też na ocenę naruszeń i obowiązki raportowe pod RODO.
W skrócie
AES-128 nie jest dziś słaby. Argument za AES-256 polega raczej na większym marginesie bezpieczeństwa, prostszej zgodności i lepszej obronie długoterminowej.
W bezpiecznych produktach przewagę daje zwykle cały model kryptograficzny i poprawna implementacja, a nie sama liczba bitów w oderwaniu od reszty architektury.
Kiedy ta różnica naprawdę ma znaczenie w praktyce
Najłatwiej zrozumieć to na konkretnych scenariuszach. Jeżeli szyfrujesz krótkotrwałe dane sesyjne albo pliki, które stracą znaczenie po kilku dniach, przewaga AES-256 nad AES-128 będzie dziś głównie argumentem zgodności i marginesu bezpieczeństwa. Jeśli jednak mówimy o dokumentach kadrowych, materiałach prawnych, archiwach medycznych albo wiadomościach przechowywanych latami, decyzja o większym zapasie kryptograficznym staje się rozsądniejsza strategicznie.
To samo dotyczy rozmowy z klientem lub audytorem. Z perspektywy użytkownika końcowego oba algorytmy mogą wyglądać podobnie, ale w praktyce dużo łatwiej obronić architekturę opartą o AES-256-GCM, gdy w grę wchodzi poufność długoterminowa, standardy branżowe i pytania o przyszłą odporność modelu. Wtedy odpowiedź nie brzmi: użyliśmy wystarczająco dobrego minimum. Brzmi: użyliśmy wariantu, który daje większy margines bez istotnego kosztu operacyjnego.
Dlatego pytanie o długość klucza nie jest akademickie. Ono wraca zawsze wtedy, gdy organizacja chce przechowywać wrażliwe dane dłużej, ograniczyć dyskusję podczas audytu i nie tłumaczyć później, dlaczego wybrała węższy zapas bezpieczeństwa, skoro praktyczny koszt mocniejszego wariantu był znikomy.
FAQ
Pytania o siłę szyfrowania
- Czy AES-256 kiedykolwiek został złamany?
-
Nie. Istnieją teoretyczne ataki related-key na zredukowane rundy, ale żaden praktyczny atak na pełny AES-256 się nie powiódł. Pozostaje złotym standardem szyfrowania symetrycznego.
- Czy AES-256 sprawia, że aplikacja jest zauważalnie wolniejsza?
-
Nie na nowoczesnym sprzęcie. Procesory od około 2010 roku zawierają sprzętowe przyspieszenie AES-NI. Różnica wydajności między AES-128 a AES-256 wynosi zazwyczaj poniżej 20% i jest niezauważalna w normalnym użytkowaniu.
- Co to jest tryb GCM i dlaczego ma znaczenie?
-
Tryb Galois/Counter to tryb uwierzytelnionego szyfrowania. Generuje zarówno szyfrogram, jak i znacznik uwierzytelnienia. Jeśli szyfrogram zostanie zmanipulowany w trakcie przesyłania, odszyfrowanie kończy się błędem — chroniąc przed atakami polegającymi na manipulacji danymi.
- Czy to znaczy, że AES-128 jest dziś złą praktyką?
-
Nie. AES-128 pozostaje silnym i akceptowanym standardem. Argument za AES-256 nie polega na tym, że AES-128 jest złamany, lecz na tym, że koszt wydajnościowy jest niski, zgodność z normami prostsza, a długoterminowy margines bezpieczeństwa większy.
Keep reading
More in security
False Security: Why Password-Protected Attachments Fail in Practice
Password-protected attachments may look sensible, but in practice they create workarounds and friction. When recipients struggle with the file, the process quickly ends with a request for a less secure alternative.
Read more
Secure Board Report Distribution Before Public Release
Before a report reaches the market, it often circulates among the board, supervisory members, CFO, and selected advisers. If that circulation happens by email attachment, the risk appears before disclosure even begins.
Read more
GDPR Breach Notification and Zero-Knowledge Encryption
GDPR breach notification obligations depend heavily on whether an attacker accessed readable personal data. Zero-knowledge encryption changes that analysis at the architectural level.
Read more