Я добавлю несколько, один из которых связан с обратной совместимостью: если у вас есть аппаратная реализация, которая поддерживает только 3DES (многие старые смарт-карты), тогда 3DES может быть предпочтительнее, чем AES. Аппаратные ускорители могут использоваться как для ускорения, так и для обеспечения безопасности (атаки по побочным каналам, см. Ниже).
Реализации 3DES могут быть менее уязвимы для атак по побочным каналам (хотя, конечно, они не защищены от них). Как я понял, AES труднее понять - из-за его внутреннего дизайна (доступ к таблицам). AES лучше, больший размер блока или размер ключа мало что значат, когда вы сталкиваетесь с хорошей атакой по боковому каналу.
3DES имеет 8-байтовый размер блока по сравнению с 16 байтами для AES, что может привести к немного большим издержкам при использовании его в шифровании в блочном режиме. Конечно, это можно уменьшить с помощью шифра в потоковом режиме, и мы говорим только о нескольких байтах для последнего блока. По этой причине это очень тонкий аргумент.
Я буду немного короче о Blowfish: переменный размер ключа, а иногда и более быстрый, чем AES, с меньшей вероятностью будет реализован в аппаратном обеспечении, но могут быть причины обратной совместимости и снова размер блока 8 байтов.
Ни одной из трех приведенных выше причин, как правило, недостаточно для выбора 3DES или Blowfish вместо AES.