Это скорее дополнение к ответу fgrieu, чем ответ сам по себе, но выделяются 3 вещи, которые МОГ сделать SHA3 более безопасным, чем SHA2 с точки зрения дизайна.
Первым и наиболее очевидным является размер состояния, SHA3 значительно больше (1600 бит), чем даже SHA512... всего 512 бит. SHA3, являясь губчатой функцией, получает уровень безопасности в зависимости от того, какую часть этого размера состояния он скрывает от конечного хэш-вывода, и это одна из причин, по которой он невосприимчив к атакам расширения длины. SHA-512 и SHA-256 выводят все свое состояние, остальная часть семейства SHA2 усекается до нужной длины. Наличие всего состояния может облегчить определенные атаки на хэши на основе блочного шифра, такие как SHA2, жесткое усечение может привести к другим атакам.
Во-вторых, со временем может измениться буфер безопасности или то, какая часть полного счета раундов не нарушена лучшими атаками на хеш-функцию. Для коллизий с SHA2 это составляет от 56% (практические коллизии для SHA-256) и 30% (псевдоколлизия для SHA-256) но колоссальные 79% для SHA3 (практическое столкновение 5 раундов)
И последнее, что больше касается того, как хеш может быть реализован в программном обеспечении, SHA3 на 64-битных платформах требует меньше кода для реализации, что означает, что меньше кода может быть реализовано небезопасно. Также считается (большинство людей, которых я знаю) более легким для чтения код SHA3, а константы округления могут быть сгенерированы алгоритмически во время выполнения.
Почему алгоритмы SHA3 считаются более безопасными, чем их аналоги SHA2
Конкурс SHA3 был создан из-за новых атак на MD5 и SHA-1, которые создали предполагаемую угрозу для будущего анализа SHA2, который может привести к практическим атакам. Этого не произошло, и SHA2 выстоял против криптоанализа.
Конкуренция SHA3 породила множество фантастических хэш-функций, которые были более функциональными, чем SHA2, имели лучшую аппаратную производительность или лучшее соотношение производительности и безопасности. Но это не означает, что SHA3 де-факто является БОЛЕЕ безопасной хеш-функцией.. но это также не означает, что SHA2 также является. Это очень разные конструкции, и SHA3 более эффективен, И SHA3 имеет потенциально более высокий буфер безопасности, но ни один из них не взломан (за исключением атак с расширением длины, но это уже было известно).