Это объясняется тем, что
(1) Для современных симметричных алгоритмов неизвестно атак, которые работают быстрее полного перебора ключей. Например, если длина ключа (скажем у AES) 128 бит, то взломать шифр можно только за 2^128 операций. Быстрее нельзя.
(2) Для большинства же асимметричных алгоритмов это утверждение неверно, поскольку для них существуют алгоритмы взлома, которые работают быстрее полного перебора. Для простоты расчетов я не буду приводить примеры самых быстрых алгоритмов взлома, но рассмотрю один алгоритм, демонстрирующий эту ситуацию.
Стойкость многих асимметричных систем основана на сложности решения задачи дискретного логарифмирования. И решить ее можно быстрее, чем полным перебором, например, методом Шенкса, который имеет сложность sqrt(длины ключа). Следовательно, ключ длиной 128 бит обеспечивает сложность взлома не 2^128, а всего лишь 2^64. Следовательно, для достижения сложности взлома 2^128 длина ключа должна быть 256 бит.
Вот и получается, что для достижения сложности взлома 2^128 симметричным схемам достаточно 128 бит, а асимметричным - 256. Но здесь оговорюсь еще раз, что существуют и более эффективные алгоритмы, чем метод Шэнкса, поэтому ключи асимметричных схем как правило еще длиннее.