> Есть RSA, там все косяки известны и огорожены заборами,

Сказать что все косяки известны применительно к сложной математической проблеме может только дилетант. Кстати, на RSA в не так давно прикольные атаки были, типа мелкой экспоненты. Ты не представляешь себе сколько фэйковых сертов разлетелось. Крутые схемы секурбутов резко поломали. Никто не сказал имплементерам что это подставляет схему, лол. DJB как-то лучше лимиты на ключи описал. С самого начала.

И кстати у 25519 вообще нет таких приколов в обычной реализации. Любые ключи валидны. Если взать тупой приватный ключ типа {0}, атакующий, конечно, может это угадать. Но взяв случайное 256-битное число - не требуется делать никаких проверок. Это валидный приватный ключ. Сразу. Без каких либо особенностей. Это очень удобно и сильно спасает зады имплементеров от вон того.

> Ключи там от 128 бит (хотя были и 96 варианты, задепрекейтили) до 521 бита.

Порядка 256 битов в общем случае нормально. Обычные компьютеры при отсутствии косяков реализации это не сжуют.

> Есть параметры (кривые) от NIST, есть браинпул и есть всякие национальные включая наш ГОСТ.

Есть разные кривые, с разными свойствами. Выбирать что-то гостовское или анбшное не стоит, по понятным причинам. Там довольно много чего может пойти не так и обоснование выбора параметров и криптоанализ - не пустой звук. 25519 вылупился не вчера и в силу происхождения, криптографы в этом основательно копались.

> 25519 придумал Бернштейн, при этом там на выходе ключ в 126 бит,

Для обычных компьютеров 25519 хватит. А квантовые, если Шорр сработает, поимеют и эллиптику и RSA совершенно одинаково. И никакие 16К ключи от этого не помогут, от них только дикие тормозняки во имя хзчего.

> оставил только RSA с ключами от 4к бит до 16к бит.

Счастье крипто не только в битности ключа, чудак. А в совокупности параметров.

Ну вот например, публичный ключ 25519 можно передать в смс. Или Наколотить с клавиатуры при нужде. Попробуй так с ключом RSA. Это позволяет например какой-нибудь Tox ID копипастой передать, в чем угодно. Хоть по телефону надиктовать. Это - апгрейд свойств алгоритма.

То что еще и считается быстро - делает бессмысленными ремотные атаки ствящие целью выжрать CPU. Например в ssh можно RSA целенаправленно хост грузить, атакующий тратит намного меньше ресурсов чем цель. В результате ssh занимается счетом RSA оптом и все дико тормозит. На каком-нибудь хостинге вас через пару дней этого - вынесут "за майнинг", и доказывайте потом что не верблюд.

Итого: ты дико тормознул себе крипто, получил возможность атак на ресурсы и ничерта не приобрел. Сомнительный tradeoff.

Те кто поумнее - делают иначе. Они в протокол возможность симметричного PSK встраивают. Симметричное крипто это другой класс проблем и даже квантовые компьютеры ничего не смогут сделать с 256-битным симметричным ключом. Шорр если сработает то обвалит сложность проблемы до 128 битов, но и этого хватит, брут этого будет неперспективен. В таком виде оно и квантовые компьютеры переживет. И любую иную лажу {RSA. 25519, что там у вас для паблик}. И симметричное крипто - довольно изученный класс проблем с весьма развитым криптоанализом. Вот там неожиданностей меньше. Но даже там - бывает.