Adam Langley в https://www.imperialviolet.org/2017/05/31/skipsha3.html
считает что у SHA3 нет ничего настолько весомого чтобы его использовать
вместо SHA2. Разве что кроме как резервный хэш, на мало ли какой случай.
Мол, даже производительность не лучше. Есть есть выбор, то лучше мол
BLAKE2.
А вот тут https://www.cryptologie.net/article/400/maybe-dont-skip-sha-3/
считают что пускай оно и так, но SHA3 проще использовать, как минимум
например потому-что нельзя сделать length extension attack-у, как на хэш
с конструкцией Давье-Майера. Типа в кривых руках оно будет безопаснее.
Лично я солидарен с обоими из этих. Я считаю что если есть выбор и нужно
с нуля выбрать какой-то хэш, то лучше это пусть будет BLAKE2. Но если
нужно чтобы оно всё-таки было постандартнее, если нужно с нуля, то тогда
SHA3, который мне например очень нравится тем, что MAC на его основе
делать легко, просто захэшировав ключ и сообщение. Если же где-то уже
впилен SHA2, то рваться его заменить наверное смысла нет. SHA1 -- есть,
а SHA2 -- нет. Хотя я всеми руками за то чтобы делать SHA512 и отрезать
его часть, вместо использования SHA256. Но, понимаю, что это только для
64-битных систем особенно актуально.