Упс, точно! Спасибо за замечание.

Тут смысл такой. Если окажется, что надежность AES-256 во всех случаях не выше AES-128, то использование AES-256 нецелесообразно, т.к. он тратит больше ресурсов на шифрование/расшифровку.

Вы смеетесь, да? Предлагаю посмеяться вместе.

У ГОСТ 28147-89 есть изрядное количество недостатков:

— во-первых, малый размер блока (64 бита) приводит к реальной возможности birthday attack — особенно, когда эта конструкция применяется на гигабитных скоростях. Для реализации атаки с вероятностью 50% нужно ~ 2^32 блоков по 64 бита, которые на скорости 1Gb/s передаются в течении 5 минут. Пусть даже в реальной жизни это будет не 5 минут, а 30 — все равно несерьезно. Рекеинг на практике делают раз в сутки, параноики — раз в 8 часов.
— во-вторых, конструкция с неспецифицированными S-боксами создает больше вопросов, чем ответов. Мало того, что нет априорной ясности о качестве конкретных S-боксов, так еще и их содержимое может быть раскрыто adaptive plaintext атакой за по-моему 2^16 попыток.
— кроме того, есть несколько «просто» атак на сам алгоритм, краткий список можно, например, посмотреть тут: events.iaik.tugraz.at/weworc09/9aa510c7c7aab1/abstracts/20.pdf

В общем, большой ошибкой было бы считать, что тридцатилетний алгоритм может на равных конкурировать с современными системами. Никто не говорит, что ГОСТ сам по себе плох, пожалуй, как калька с DES'а он вполне себе хорош, но возраст дает знать.

А чего минусируєм?
В истории так всегда было. Любой алгоритм взламывали.
Что касается AES так ознакомьтесь с работами Nicolas T. Courtois.
Я не думаю что AES будет вечно безопасен.

никто не запрещает в аес использовать 12 или 14 раундов. Более того, хоть сколько угодно раундов )
а 7 раундов взлома — это только в теории. На практике еще не реализовано.