Posso solo indovinare, ma penso che possa derivare dal senso che la crittografia asimmetrica è solo più matematicamente traballante di quella simmetrica.
Ad esempio, è noto che la crittografia simmetrica sicura è teoricamente possibile: si consideri ad esempio il time pad, che a volte può anche essere usato nella pratica. I cifrari simmetrici standard sono in qualche modo uno schema per emulare questo, ma con chiavi più corte (specialmente se si considera, ad esempio, la modalità CTR).
Quindi considera il caso di qualsiasi sistema asimmetrico. Qui è necessario che sia matematicamente possibile avere una funzione matematica F (secret-to-protect, pubkey) che produce un risultato crittografato che non può essere utilizzato per dedurre il segreto per proteggere anche se la chiave pub è nota all'attaccante. Cioè non hai argomenti segreti che la funzione possa utilizzare per proteggere il segreto (come nel caso dello schema simmetrico) - l'unica cosa segreta è ciò che vuoi proteggere!
Tuttavia, la funzione deve essere bidirezionale poiché altrimenti il destinatario previsto non può decrittografarlo. Quindi tutte le informazioni devono essere lì. In effetti, deve essere computazionalmente facile invertire l'operazione conoscendo alcune informazioni aggiuntive relative alla chiave pubblica, vale a dire la chiave privata. È molto meno chiaro che tali funzioni esistano - non è noto che lo facciano. RSA ed ECC sono essenzialmente proposte per un tale schema - ma solo proposte poiché non sono dimostrate sicure. Stabilire la sicurezza di qualsiasi schema asimmetrico, implicherebbe implicitamente P! = NP, e quindi sembra essere un problema molto difficile.
Dato che non è nota alcuna istanza nota di uno schema asimmetrico sicuro (e in effetti uno schema asimmetrico deve soddisfare alcune proprietà matematiche molto più difficili dello schema simmetrico), ma dato che gli esempi sicuri sono noti per schemi simmetrici, allora tutto il resto a parità di condizioni, è ragionevole essere più sospettosi nei confronti di schemi asimmetrici.
Da un punto di vista pratico, sembra che la complessità della fattorizzazione e il problema del registro discreto (come impiegato nei cifrari asimmetrici) si riducano di anno in anno (anche se i migliori algoritmi sono ancora esponenziali nel tempo) mentre AES e DES (quasi) stanno mantenendo la loro posizione. Il problema più grande con DES era la dimensione della chiave piccola, non che l'algoritmo era incrinato. 3DES è ancora sicuro, ma piuttosto lento rispetto a AES.