мне нужен алгоритм для хеширования файлов и для создания цифровых подписей, главное чтобы он был устойчив к коллизиям. Я читал что у sha2 были обнаружены коллизии и поэтому перешли на новый стандарт sha3, но так как sha3 более молодой и не исследованный, то возникает опасность что в будущем в нем обнаружатся коллизии или другие уязвимости. что думаете по этому поводу?

файлы хешируются для индексации или для чего-то типа торрента?
если да то sha-3, думаю, вполне достаточно

для цифровой подписи

не знаешь в openssl есть sha-3?

не, не проверял

Судя по этому репозиторию - есть

openssl help
...
sha3-224          sha3-256
sha3-384          sha3-512

...

Николай, давайте проще: существуют ли атаки нахождения прообраза эффективнее полного перебора? Если нет, то способ вычисления начального значения счётчика хушированием парольной фразы и вектора инициализации не будет играть большой (или вовсе никакой) роли: хешируй хоть боком, хоть раком, хоть вприсядку.

Можно заранее сделать перебор и сохранить результаты(да, это много времени займет и много данных) , а потом по таблице находить пароль за считанные секунды. Но это обычно делается, не для того чтобы один раз найти пароль, а для того, чтобы много раз с большой скоростью находить пароли.
Но при разной соли эта методика не работает. Тогда придется для каждой соли делать такую таблицу.
Я говорю это в общем, а не применимо к данному случаю.

Кто-нибудь занимается неабелевой криптографией? Доступ к китайским публикациям и их периодикой на китайском?

Я понял, зачем используется индивидуальная соль при хранении паролей: чтобы предварительно вычисленные таблицы хешей слабых (коротких или легкоугадываемых) и скомпрометированых паролей сделать бесполезными. В таком случае - при использовании соли - эти таблицы придётся пересоставлять для каждой соли отдельно, хешируя миллионы этих самых паролей заново.

Вектор инициализации, записанный после парольной фразы, выполняет ту же самую роль, что и соль в БД паролей на сервере какого-то сайта.

Кстати, про хранение паролей, не касаясь обсуждаемого шифра. Когда-то очень давно в комментариях на Хабрхабре увидел такую идею: генерируем пару RSA-ключей, закрытый ключ уничтожаем, а открытым потом шифруем пароли пользователей, когда создаём им учётки.  В дальнейшем сравниваем этот шифротекст с тем, который вычислим при попытке пользователя войти на сервер под своим именем. То есть, шифротекст воспринимается как хеш, а шифр RSA - как хеш-функция, у которой есть несколько преимуществ: низкая скорость выполнения и отсутствие предварительно вычисленных таблиц. Правда, теперь, как я понял, существуют специальные хеш-функции, в алгоритме которых есть специальный cost-параметр, регулирующий скорость их выполнения, потому полезность этого асимметричного способа уже не очевидна.

Если использовать алгоритмы цифровой подписи (rsa или ed25519) чтобы сделать подпись очень малого количества данных (вплоть до пары байт) это может привести к утечке приватного ключа?

Здравствуйте, подскажите, пожалуйста,  зарубежные статьи о криптографии и конфиденциальности, если у кого на примете имеются. Мне для курсовой очень нужны) заранее спасибо)

там же вроде рерандомизация имеется, так что врядли
то есть одно и то же сообщение, один и тот же ключ —> разное выходное сообщение, если я не ошибаюсь

честно говоря - не вникал настолько глубоко

но вот такая задачка пришла, надо подтверждать подлинность двухбайтового сообщения

а не, там без рерандомизации, всегда одна и та же подпись, в общем, при помощи рерандомизации оно и решается

т.е. посолить типа?