Per "> 2030", il NIST sta in realtà affermando che la crittografia simmetrica a 128 bit dovrebbe essere sicura fino a almeno dell'anno 2030. Se la versione corrente di un determinato software si basa su La crittografia a 128 bit è ancora in circolazione tra 17 anni, bravo.
Come ha detto Dan, è compito del NIST essere pessimista su queste cose, perché tutti le ascolta, e perché la crittografia, nella fredda luce del giorno, ha un curriculum piuttosto negativo; se avessimo, ormai, sviluppato la primitiva simmetrica di crittografia ideale (come in, possiamo provare matematicamente che ci sono attacchi no più efficienti della forza bruta) che usavano una lunghezza di chiave finita (OTP è probabilmente noncrissibile perché usa una lunghezza infinita della chiave), lo utilizzeremmo ancora.
Così com'è, quasi ogni sistema crittografico che sia mai stato concepito attraverso la storia umana è stato da allora incrinato, e mentre quelli attualmente in uso (una minoranza d'élite di tutti i cifrari mai inventati) sono creduti sicuri, è solo perché il i migliori attacchi noti contro di loro in questo momento sono migliori della forza bruta solo se applicati a una versione ridotta della complessità dell'algoritmo (meno "round" del codice).