В большинстве случаев наша криптография уже работает быстрее, чем нам нужно. Например, на моем 3-летнем ноутбуке с процессором 1,9 ГГц я могу использовать AES-GCM со 128-битным ключом со скоростью 5,8 ГБ/с и с 256-битным ключом со скоростью 4,5 ГБ/с, и все это на одном нить. Этих скоростей достаточно для насыщения канала 10 Гбит/с, а первого достаточно, чтобы насытить канал 40 Гбит/с, чего у меня нет. На наших рабочих серверах, которые имеют гораздо более быстрые соединения, у нас также есть процессоры, которые намного быстрее, и шифрование (например, SSH) также не является узким местом.
Даже на очень слабых устройствах без аппаратного ускорения ChaCha может работать очень хорошо. Его можно реализовать с высокой производительностью во всем, что поддерживает 128-битную реализацию SIMD, и даже хорошо работает в системах без модулей SIMD.
По моему опыту, гораздо сложнее заставить людей использовать безопасный дизайн, алгоритм или протокол, чем получить криптографию, которая работает хорошо. Люди по-прежнему настаивают на использовании небезопасных алгоритмов, потому что они быстры, не понимая, что есть лучшие, безопасные альтернативы, которые удовлетворяют их потребности и могут даже работать лучше. Таким образом, я считаю маловероятным, что чрезвычайно быстрый дизайн произведет революцию в криптографии, потому что проблемы, которые я обычно вижу, лежат в другом месте.
