> Когда появились MD5А его тупым перебором никто и не осилиk, т.к. 2^128 - это довольно дофига. А 2^256 по идее хватит даже с учетом всего мыслимого прогресса и квантовых компьютеров. Просто нашли уязвимости позволяющие упростить генерацию коллизий до более разумных величин.
> и DES, их авторы тоже что-то подобное говорили,
А DES вообще не алгоритм хэширования. А то что для шифрования 56 битов мало - понимает даже дебил. Криптографы уже на момент выхода DES предупреждали. Потом кого-то задолбало и они на программируемой логике собрали брутфорсер способный за какие-то дни перебрать 56 битов. Потому что этого элементарно мало. Вот только стоит понимать что добавление 1 бита увеличивает сложность брута в ДВА РАЗА. Поэтому 128 битов тупым брутом на современных компьюьтерах уже проблематично. А 256 даже квантовые не возьмут. По чисто практическим соображениям (e.g. затраты энергии на процесс).
> и что теперь?
А ничего. Конечно можно использовать замок и так: http://words.brittina.net/wp-content/uploads/2009/03/fail-ow... Вот это как использование DES с точки зрения криптографов.
> В конце концов, закон Мура никто не отменял.
В конце концов, наличие головного мозга еще не отменяли. Достаточно сразу ориентироваться на заведомо неподъемную сложность перебора. Например пусть у атакуюшего компьютер состояния которого переключаются за минимальную величину которую вообще померять можно, что-нибудь порядка планковской константы. Пусть он чуть ли не бесконечно быстр. При достаточно большом объеме вычислений вычисляющий упрется в то что ему не хватит энергии в доступном закоулке вселенной. Вот 2^256 - это уже из этой оперы. Это совершенно дикое число, если его в десятичной системе записать. Атомов во всей вселенной меньше.