Как вы, возможно, уже выяснили, это зависит от конкретной системы, в которой это может быть применено. Если поддерживается AES-256, то алгоритмические издержки обычно ограничены; возможно, это будет проблемой только для встроенных устройств.
Как уже упоминалось, управление ключами, вероятно, является самым большим препятствием. Восстановление ключей может быть очень сложным. Это также может быть очень просто; например вы можете просто перенастроить наборы шифров TLS, а поскольку (эфемерные) симметричные сеансовые ключи устанавливаются во время рукопожатия, вы, вероятно, даже не заметите изменения. Однако, если ключи были предварительно распределены, то замена ключей из надежного источника может быть дорогостоящей, возможно, непомерно высокой.
Для аппаратного обеспечения: безусловно, есть системы со встроенными процессорами, которые поддерживают только аппаратное ускорение AES-128. Из-за слабого процессора может быть невозможно запустить AES в программном обеспечении. В этом случае AES-256, вероятно, не годится. С другой стороны, большинство современных ЦП в ПК поддерживают ускорение AES для обоих размеров ключа.
Для протоколов: AES-256 использует 32-байтовые ключи. Это может быть проблемой, если ваш механизм получения ключа выводит только меньшее количество байтов (скажем, PBKDF1 с SHA-1) или неэффективен (скажем, PBKDF2 с SHA-1), если вы извлекаете из него слишком много байтов. С другой стороны, размер блока AES-128 и AES-256, поэтому, если блочный шифр рассматривается как черный ящик, то требования к вводу/выводу (открытый текст/зашифрованный текст) не изменятся.
Точно так же, если у вас есть большой диск, зашифрованный с помощью AES-128, а затем повторно зашифровать его с помощью AES-256, вам, возможно, придется долго ждать, прежде чем процесс будет завершен, не столько из-за AES, сколько из-за I /О.
Итак, без дополнительной информации: это зависит от того, может ли это быть одна строка конфигурации или это может быть даже невозможно, и все, что между ними...