Для взлома/расшифровки зашифрованного текста на вашем шифре не требуется получения пароля или ключа, а требуется получение самого счетчика(по хешу, который будет известен при наличии одного первого открытого блока ) . Есть счетчик - можно расшифровать файл или сообщение не зная пароля.
То есть я хочу сказать, что предложенный мной вариант на это не влияет.
Просто этот вариант  предложил, поскольку обычно хеш функции работают по блокам, и если нет полного блока, блок будет заполнятся нулями или другими  предсказуемыми символами. тогда во первых, перебор будет гораздо меньше(при пароле меньшем одного блока), а во вторых, предполагается, что энтропия будет хуже, если в блоках будет много нулей.

Учебное задание

Есть у кого-нибудь опыт распространения исполняемого файла с обходом смартскрин? Помогите пожалуйста!

боюсь что это выходит за рамки обсуждаемых в нашей группе тем

Че по книжкам

>Есть счетчик - можно расшифровать файл
>или сообщение не зная пароля.

Доброе утро! Это справедливо для расшифровки только одного сообщения. Если же стоит задача читать всю переписку, зашифрованную одной и той же постоянной парольной фразой, то придётся искать ещё и прообраз счётчика.

И ещё вопрос: что такое "соль инфраструктуры"?

Я имею в виду, для одной пары сервер-клиент(один сервис) может быть одна соль, для другого сервиса другая соль. Одна соль может использоваться для одного предприятия. Если же это просто шифрование файлов(своих собственных) то может быть своя соль, причем можно жестко или через макросы вбить эту соль в программу.
Смысл этого - противодействие случайного нахождению пароля по радужным таблицам. Для каждой соли нужно будет свои таблицы делать, поскольку 256 бит это очень очень много, потому практически не реально построить полную таблицу. Зато можно построить таблицы по наиболее используемым паролям и слабым паролям.

А что не получается то? Литература есть и исходники есть и работают.
По исходникам можно понять как это работает.

Я делаю вот так, но что-то не выходит

Что не выходит? Программу компилировали? Она находила коллизии?

Правильно ли я понимаю, что хранение и применение солей Вы возлагаете на самого пользователя (тут подразумевается И дополнительное вспомогательное ПО, которое будет хранить для каждого сайта/сервера свою собственную соль)?

Это не секретные данные. Для клиент-серверной системы можно скомпилировать бинарники со своей определенной солью. А можно сделать и загрузку с конфига

Я понял. Это по-сути тоже самое: или разные бинарники, или какая-то БД, откуда в конец парольной фразы приклеивается соль, исходя из того, с кем пользователь переписывается (грубо говоря, пользователь клацает на селектор, в списке которого указаны корреспонденты, для которых создана соль).

Просто я подумал, что Вы предлагаете изменить сам шифр, но не понял как. :-)

>и если нет полного блока, блок будет заполнятся
>нулями или другими  предсказуемыми символами.
>тогда во первых, перебор будет гораздо меньше(при
>пароле меньшем одного блока)

Вот тут не понятно. Я предложил парольную фразу переменной длины дополнить 256-битным ВИ. Правильно ли я понимаю Вас, что из-за переменной длины парольной фразы последний блок скорее всего будет дополнен нулями или предсказуемыми символами, что упростит поиск прообраза? Или Вы имели в виду, что пользователь в принципе введёт коротюсенький пароль, который вместе с ВИ будет короче одного полного блока?

Может такая схема выработки начального значения счётчика будет лучше: counter = sha256(sha256(passphrase) || IV), - при условии, что ВИ тоже 256-битный. В таком случае на хеширование будет передано два полных блока. Так, Николай, надёжнее?

Может и длинный пароль, но на 1 больше, чем общий размер блока, тогда при вычислении хеша большинство байтов блока(последнего!) будет заполнены нулями.
В SHA‑256 вроде как размер блока 512 бит. Да так будет лучше.
Если атаки будут основываться только на поиске первообраза, тогда атакующие скорее всего будут довольствоваться чтением одного сообщения(без нахождения пароля) или файла, и если этот шифр будет использоваться  для шифрования с OTP или на  коротких SSL сессиях, тогда вообще пароль не будет иметь смысла находить.
Но атака может не только на основе этого.

Ребята привет, посоветуйте какой лучше пароль использовать SHA-2 или SHA-3?

Используй bcrypt или scrypt для хеширования пароля

зависит от того для чего хеширование используешь
если пароли то выше уже сказали bcrypt или scrypt
если что-то ещё то можно и SHA-3
в совсем скучных случаях можно MD5 даже, но это скорее исключение чем правило)

Важна ещё солёность)