А именно - AES-256. Сразу скажу, что блочное симметричное шифрование (а не асимметричное) было выбрано ввиду того, что возникла задача поточного шифрования достаточно больших объемов информации (в настоящий момент - ~50 мегабайт на одну операцию шифрования) - для такого случая асимметричные методы считаются неоптимальными из-за большего времени операции криптования. Собственно, сама реализация такой операции никаких проблем не вызвала, т.к. целевая платформа - .Net/C#, в которой есть реализация Rijndael "из коробки". Меня смущают два нижеизложенных нюанса.

1. Как идеологически правильно по паролю получать ключ? Разумеется, я понимаю, что лучше всего в качестве ключа использовать рандомный бинарный блок требуемой длины, но в моем случае требование однозначно: входная точка - пароль пользователя. Я не раз видел реализации AES, в которых байтовое представление пароля просто дополнялось до нужной длины нулями - мне это представляется не особенно правильным подходом (хотя математически доказать неправильность такого подхода я не могу). Сейчас я в качестве ключа использую SHA-256 от пароля. Смущает то, что доказательства правильности такого подхода у меня тоже нет.

2. Поскольку в моем случае используется CBC-режим, то вместе с ключом шифрования задается еще и IV (вектор инициализации). Я так и не нашел однозначного ответа на вопрос, нужно ли хранить IV  в секрете - в разных источниках видел упоминания о том, что IV никакой ценности без ключа не представляет, и его можно хранить прямо вместе с закриптованными данными (но доказательств такого подхода я не видел). С другой стороны, IV используется для последовательного криптования сцепленных блоков, чтобы предотвратить словарную атаку, и, соответственно, является как бы вторым ключом к зашифрованным данным - так стоит ли выкладывать этот ключ для любого желающего?