> 1. AES при использовании AES-NI тоже констант тайм.Только системы с таковым гарантированно содержат Intel Management Engine. Криптографы в отличие от всякого жулья не считают нужным вендорлочить нас на заведомо троянизированное железо.
> 2. При использовании AES-NI нагрузка на проц сильно ниже, чем с чачей.
Только смысла в этом довольно мало. Ты там даже ME не можешь отключить. О какой безопасности речь на таком оборудовании?
> Те на слабом атоме/амд оно порвёт чачу как тузик грелку.
А на ARM или MIPS типа роутера не получим ни постоянного времени операций, ни производительности. А они между прочим не снабжены intel ME.
> 3. AES-256 - это 256 бит секурности, а чача гарантирует только уровень
> безопасности 128 бит. Как и 25519.
Если ты формируешь эфемерные ключи с 128 битами - нет никакого смысла раздувать их до 256 битов, поскольку задача все-равно сводится к брутфорсу 128 битов как максимум. Если что, RSA2048 тоже сравним с 128 битами по силе. Можно конечно 4096, но ты его скорость видел? С такой скоростью не погенеришь эфемерные ключи на каждый пшик и вообще легко сервер завалить. Видел что происходит с ssh при нашествии стайки ботов? Да там проц в полку, RSA усиленно обсчитывает. А админ чтобы вообще зайти на сервер вынужден ждать полчаса.
> 5. опенвпн юзеспейсный потому и отклик у него больше.
А также пользуется гадостью типа OpenSSL, в котором дыр больше чем у дупака фантиков, приватность никакая, протокол легко обнаруживается, настроить OpenVPN безопасно - целая ракетная наука (в умолчальных конфигах любой клиент может прикинуться сервером и нагло подсунуть себя вместо сервера, прикинь?!).