Nejzákladnější formou útoku možnou proti jakékoli šifře šifrování je útok hrubou silou, který spočívá ve zkoušení každé možné kombinace klíče, dokud není nalezena ta správná. 

Frontier(nové okno) je nejvýkonnější veřejně známý superpočítač na světě. I kdyby celý svůj výkon věnoval lámání AES-128 hrubou silou, stále by potřeboval přibližně 10–12 bilionů let k vyčerpání všech možných kombinací pro AES-128. To je mnohem déle než stáří vesmíru. Takže i při nižších bitových velikostech je AES vysoce odolný vůči útokům hrubou silou z běžných počítačů. 

AES-256 je 340 bilionů-bilionů-bilionů-bilionůkrát (2¹²⁸krát) obtížnější prolomit hrubou silou než AES-128.

Zatímco Groverův algoritmus(nové okno) teoreticky snižuje bezpečnost symetrických klíčů proti kvantovým hrozbám(nové okno) na polovinu, stále jsou vůči kvantovým útokům poměrně odolné, zejména při použití 256bitového klíče.

V průběhu let kryptografové publikovali řadu teoretických útoků na klíče AES, ale všechny jsou buď v praxi neproveditelné, nebo jsou účinné pouze proti implementacím AES, které používají snížený počet kol (viz níže). 

Nejúspěšnějším pokusem byl teoretický biclique attack(nové okno) publikovaný v roce 2011, který může zkrátit čas potřebný k prolomení AES hrubou silou na čtvrtinu. Přesto by prolomení AES hrubou silou na jakémkoli současném nebo předvídatelném hardwaru počítačů stále vyžadovalo miliardy let. 

Žádný známý útok na klíč není v praxi účinný proti správně implementovanému AES-128 nebo vyššímu. 

Postranní útok se snaží snížit počet kombinací potřebných k úspěšnému útoku hrubou silou hledáním stop z počítače provádějícího výpočty šifrování. Stopy lze získat zkoumáním:

• Časování – jak dlouho počítači trvá provedení operace
• Elektromagnetické úniky
• Zvukové stopy
• Vizuální stopy (zachycené pomocí kamery s vysokým rozlišením).

Zejména útoky na časování cache se ukázaly jako poměrně účinné při úspěšném prolomení AES. V nejvýznamnějším příkladu dokázali výzkumníci v roce 2016 obnovit(nové okno) klíč AES-128 s použitím „pouze asi 6–7 bloků prostého textu nebo šifrového textu (teoreticky by stačil i jediný blok)“.

Ke zmírnění hrozby postranních útoků však lze udělat řadu věcí:

• Správně implementované AES může zabránit způsobům, jakými může docházet k úniku dat.
• Hardware, který integruje instrukční sadu AES, dále snižuje plochu útoku postranních útoků na AES.
• K narušení vztahu mezi daty chráněnými AES a jakýmikoli uniklými daty, která by mohla být shromážděna pomocí postranního útoku, lze použít techniky randomizace. 

V mnoha případech postranní útoky vyžadují, aby útočník měl těsnou blízkost k zařízení nebo fyzický přístup k zařízení při dešifrování dat, ačkoli vzdálené útoky jsou možné, pokud je v zařízení nainstalován škodlivý software, zejména v případě útoků založených na časování.

AES je bloková šifra, která šifruje a dešifruje data v blocích o 128 bitech pomocí 128bitových, 192bitových nebo 256bitových klíčů. Jak bylo uvedeno dříve, k šifrování i dešifrování dat se používá stejný klíč. AES používající 128bitový klíč se často označuje jako AES-128 a obdobně i AES-192 a AES-256.

Data se šifrují pomocí několika kol, z nichž každé se skládá ze série matematických operací. 

Proces začíná použitím algoritmu rozvrhu klíčů Rijndael k odvození série nových klíčů kol z původního tajného klíče. Tomu se říká rozšíření klíče.

Každé kolo se pak skládá z jedné nebo více (nebo kombinace) následujících operací:

1. Add RoundKey: Provede se operace XOR(nové okno), která kombinuje data určená k zašifrování (šifrový text) s každým klíčem kola.

2. Sub Bytes: K dalšímu promíchání dat se používá substituční tabulka. Představte si v principu jednoduché substituční šifry, které jste jako děti používali, když jste každé písmeno ve zprávě nahradili písmenem, které je v abecedě o pevný počet míst dál.

3. Shift Rows: Každý 128bitový blok dat se skládá ze 16bitového bloku 4 × 4. Tato operace posouvá každý bajt v řádku bloku doleva o určitý offset.

4. MixColumns: Na každý sloupec v bloku se provede další invertovatelná lineární transformace.

Tato série transformací tvoří jedno kolo, které se pak nad daty opakuje po určitý počet kol v závislosti na velikosti klíče:

• AES-128 — 10 kol
• AES-192 — 12 kol
• AES 256 — 14 kol

K dešifrování dat se všechny kroky použité k jejich šifrování jednoduše provedou v opačném pořadí. To vyžaduje původní tajný klíč k obrácení procesu pomocí každého inverzního klíče kola.

Prolomení AES-128 hrubou silou by s ohledem na současné i předvídatelné technologie trvalo déle než stáří vesmíru. Legendární kryptograf Bruce Schneier dokonce tvrdil(nové okno), že AES-128 může být díky silnějšímu rozvrhu klíčů — algoritmu, který počítá všechny klíče kol z původního tajného klíče — silnější než AES-256.

Přesto se AES-256 stalo de facto zlatým standardem pro šifrování se symetrickým klíčem. Často se na něj pohlíží (i když poněkud kontroverzně) jako na silnější volbu, protože jeho větší velikost klíče signalizuje dodatečnou bezpečnostní rezervu, takže šifrovaná data zůstanou v bezpečí, i kdyby byl nalezen způsob, jak algoritmus dramaticky oslabit. Tento argument nabyl na síle s tím, jak se potřeba odolnosti vůči postkvantovým hrozbám stává naléhavější. 

Ještě poměrně nedávno se AES obvykle používalo v režimu cipher block chaining (CBC), kde je každý blok prostého textu před zašifrováním XORován s předchozím blokem šifrového textu. Při použití v režimu CBC je k ověření dat vyžadován hashovací algoritmus HMAC(nové okno), například HMAC-SHA256.

Stále častěji se však AES používá v režimu Galois/counter (GCM), který využívá režim čítače(nové okno) šifrování. Hlavní výhodou je, že k ověření dat používá Galoisovo pole(nové okno) bez potřeby externího algoritmu. Je proto efektivnější než použití samostatného autentizačního algoritmu, který může mít vysokou výpočetní režii.

Přestože je AES-CBC s ověřením HMAC obecně považováno za bezpečné, CBC je potenciálně zranitelné vůči padding útokům(nové okno), jako je POODLE(nové okno). GCM nikoli.

Většina moderních procesorů obsahuje Advanced Encryption Standard New Instructions (AES-NI(nové okno)), sadu hardwarových instrukcí, která provádí operace AES přímo na procesoru. Díky tomu je AES mnohem rychlejší a zároveň to pomáhá předcházet postranním útokům založeným na časování, protože operace probíhají uvnitř zabezpečených výpočetních jednotek procesoru, takže útočník může využít méně pozorovatelných časových odchylek.

Bezpečnost je jen tak silná jako její nejslabší článek, kterým je obvykle Vaše heslo. To znamená, že hrozbu pro data šifrovaná pomocí AES představují také praktiky sociálního inženýrství, phishingové útoky a keyloggery(nové okno). Takže i když se používá AES, měli byste přijmout následující opatření:

• Používejte šifrovaného správce hesel
• Používejte hardwarové bezpečnostní klíče (například YubiKey) jako další vrstvu ochrany
• Pokud jste součástí organizace, provádějte pravidelná bezpečnostní školení zaměstnanců, abyste předešli phishingovým útokům