Als in den 2000er-Jahren der AES ausgewählt wurde, gab es zunächst mehrere Varianten mit verschiedenen Blocklängen. So unterstützte der Rijndael-Algorithmus auch Blocklängen von 192- und 256-Bit. Später im Prozess entschied man auf die größeren Blocklängen zu verzichten und setzte diese konstant auf 128-Bit. Dies hatte auch den Vorteil, dass der AES zur Verwendung nicht übermäßig parametrisiert werden muss: mit AES-128, AES-192 und AES-256 ist das Verfahren stets hinreichend beschrieben: Die Zahl steht dabei nur für die Schlüssellänge, die Blocklänge ist immer 128-Bit.

Nun, 25 Jahre später, denkt das NIST laut über eine Variante mit einer größeren Blocklänge nach. Genauer gesagt eine 256-Bit Variante. Dabei wäre die Schlüssellänge fest auf 256 gesetzt. Bis Juni 2025 sind Interessierte aus aller Welt dazu eingeladen, ihre Meinung zu äußern.

Eine solche Erweiterung ist aus mehreren Gründen ganz interessant. Denn die Autoren haben bereits in der ursprünglichen Dokumentation angedeutet, dass sich mit einer größeren Blocklänge auch weitere Einsatzzwecke ergeben könnten:

The block lengths of 192 and 256 bits allow the construction of a collision-resistant iterated hash function using Rijndael as the compression function. The block length of 128 bits is not considered sufficient for this purpose nowadays.

Es ist jedoch recht fraglich, ob der AES hierfür heute noch einen Einsatz finden würde.

Viel wahrscheinlicher ist dieser Vorstoß der Tatsache geschuldet, dass der AES heute überwiegend in Kombination mit einem Betriebsmodus zum Einsatz kommt, welcher die Blockchiffre in eine Stromchiffre wandelt. Alle Betriebsmodi in TLS 1.3 sind Counter-Varianten: GCM und CCM. Selbst mit ein paar AES Runden mehr entsteht hier auf ein Schlag der doppelte Schlüsselstrom. Das dürfte ein recht überzeugendes Argument dafür darstellen.