截至2006年,针对AES唯一的成功攻击是旁道攻击。美国国家安全局审核了所有的参与竞选AES的最终入围者(包括Rijndael),认为他们均能够满足美国政府传递非机密文件的安全需要。2003年6月,美国政府宣布AES可以用于加密机密文件: <blockquote class="toccolours" style="float: none; padding: 0.3em 1em;"> The design and strength of all key lengths of the AES algorithm (i.e., 128, 192 and 256) are sufficient to protect classified information up to the SECRET level. TOP SECRET information will require use of either the 192 or 256 key lengths. The implementation of AES in products intended to protect national security systems and/or information must be reviewed and certified by NSA prior to their acquisition and use.[3] </blockquote> (译:AES加密算法(使用128,192,和256位元密钥的版本)的安全性,在设计结构及密钥的长度上俱已到达保护机密资讯的标准。最高机密资讯的传递,则至少需要192或256位元的密钥长度。用以传递国家安全资讯的AES实作产品,必须先由国家安全局审核认证,方能被发放使用。) 这标志着,由美国国家安全局NSA批准在最高机密资讯上使用的加密系统首次可以被公开使用。许多大众化产品只使用128位元密钥当作默认值;由于最高机密文件的加密系统必须保证数十年以上的安全性,故推测NSA可能认为128位元太短,才以更长的密钥长度为最高机密的加密保留了安全空间。 通常破解一个区块加密系统最常见的方式,是先对其较弱版本(加密循环次数较少)尝试各种攻击。AES中128位元密钥版本有10个加密循环,192位元密钥版本有12个加密循环,256位元密钥版本则有14个加密循环。至2006年为止,最著名的攻击是针对AES 7次加密循环的128位元密钥版本,8次加密循环的192位元密钥版本,和9次加密循环的256位元密钥版本所作的攻击。[4] 由于已遭破解的弱版的AES,其加密循环数和原本的加密循环数相差无几,有些密码学家开始担心AES的安全性:要是有人能将该着名的攻击加以改进,这个区块加密系统就会被破解。在密码学的意义上,只要存在一个方法,比暴力搜寻密钥还要更有效率,就能被视为一种“破解”。故一个针对AES 128位元密钥的攻击若“只”需要2120计算复杂度(少于暴力搜寻法 2128),128位元密钥的AES就算被破解了;即便该方法在目前还不实用。从应用的角度来看,这种程度的破解依然太不切实际。最著名的暴力攻击法是distributed.net针对64位元密钥RC5所作的攻击。(该攻击在2002年完成。根据摩尔定律,到2005年12月,同样的攻击应该可以破解66位元密钥的RC5。) 其他的争议则着重于AES的数学结构。不像其他区块加密系统,AES具有相当井然有序的代数结构。[3]虽然相关的代数攻击尚未出现,但有许多学者认为,把安全性建立于未经透彻研究过的结构上是有风险的。Ferguson,Schroeppel 和 Whiting 因此写道:“...我们很担心 Rijndael [AES] 算法应用在机密系统上的安全性。”[5] 2002年,Nicolas Courtois 和 Josef Pieprzyk发表名为XSL 攻击的理论性攻击,试图展示AES一个潜在的弱点。但几位密码学专家发现该攻击的数学分析有点问题,推测应是作者的计算有误。因此,这种攻击法是否对AES奏效,仍是未解之谜。就现阶段而言,XSL攻击AES的效果不十分显著,故将之应用于实际情况的可能性并不高。