到“>2030”，NIST 实际上是在声明 128 位对称加密至少在 2030 年之前应该是安全的。如果任何依赖 128 位加密的给定软件的当前版本在 17 年后仍然存在，好极了。

正如 Dan 所说，对这些事情持悲观态度是 NIST 的工作，因为每个人都在听，而且因为密码学在大白天的冷光下有着非常糟糕的记录；如果我们现在已经开发出使用有限密钥长度的理想对称加密原语（例如，我们可以在数学上证明没有比暴力破解更有效的攻击）（OTP 被证明是不可破解的，因为它使用无限密钥长度） ，我们仍然会使用它。

事实上，几乎所有人类历史上设计的密码系统都已被破解，虽然目前使用的系统（所有密码中的精英少数）被认为是安全的，但这仅仅是因为已知的最佳攻击当应用于算法的降低复杂度的版本（密码的“轮数”更少）时，现在对抗它们只比蛮力更好。

一个原因是在 128 位算法中发现的缺陷可能会降低其有效熵。

例如，可能发现了泄漏信息的缺陷。这种泄漏可能会减少有效位数，例如 < 100 位，从而使攻击变得容易 2 ²⁸倍以上。

它本质上是对冲多种可能性的赌注，从技术进步（例如量子计算机）到算法中的设计缺陷。