> DJB ходил и орал везде: ECDSA остстой, оно подвержено тайминг атаками, а
> вот у меня тут state of art с constant time.

При том как криптограф он это довольно обоснованно орал так то. И по сути ну разве что не предсказал спектры с мельдонием. А что, не прав был? В многозадачных системах и мире с виртуалками и впсками это весьма важные соображения. Крипто работающее только с большими оговорками - так себе идея.

> Притом что у него на выходе ключ 126 бит.

А разница в чем? Для обычных компьютеров - за глаза. Для квантовых слом RSA более изученная область, ему первому и достанется. Но теоретически может и 25519, другой класс проблем но предполагается что похожие подходы сработают и там.

А если нет разницы, зачем считать больше?! К тому же RSA исторически несколько раз довольно жирно ломали. Например "small exponent attack". Да, а чего, никто не сказал что это чем-то плохо, толпа имплементеров налетела. Посыпалось много чего интересного, вплоть до секурбута high-secure систем. RSA вообще чувствителен к имплементации и там много всяких деталей, неудачные ключи, нужда костылить дурные свойства и проч. Единственное его достоинство - он первый в своем роде. На этом достоинства и заканчиваются.

Кстати авторы RSA орали больше и наглей, насколько я помню. Даже коммерческую корпу создали. С доволь но интересным послужным списком типа поимки на попытках внедрения бэкдоров. То-есть, эти господа более благонадежны чем? Да неужели?

> А варегард начал расходится уже сильно после того как появились слухи что элиптику
> ломанули, и NSA сказало госам не переходить на ECDSA и дальше сидеть на RSA.

Ну так NIST засыпался на Dual EC DRBG, логично что и остальному его творчеству этого периода доверия мало. Приняли какую-то муть созданную фиг знает как и почему (где описание этой  мути сравнимое с DJB по уровню аргуметации "почему это делается так"?!) - и типа вот вам стандарт, с лопаты. Нафиг надо такие стандарты.