> AES-NI всё равно быстрее.

Только залочен на интел и их пробэкдореное железо. Если тебе нужен лохотрон, проследуй в ближайший спальный район вечером, тебе его обеспечат.

> Кроме того AES блочный а чача поточная, иногда это очень важно.

В данном случае это не важно, там формирование nonce правильное.

> Учитывая что авторы заюзали 25519 а не х448 то эквивалентный уровень безопасности
> у них 128 бит.

Ты можешь юзать пробэкдоренную эллиптику от NSA, зато с типа-безопасностью в типа-256 битов. Или какой-нибудь RSA4096. Только у первого подозревают бэкдоры. У второго скорость никакая.

> Поэтому мне весь этот их пеар как то навивает мысли либо о малограмотности

При том твоей. Почему-то разработчикам openssh такой набор параметров нормально.

> Ещё в опенвпн HMAC-SHA256 сильно дольше считается чем poly1305.

А еще...
- OpenVPN детектируется с полкинка. С учетом пшеничных культур это проблема.
- На SSL есть дюжина атак разной степени неприятности.
- Если ты думаешь что ты сможешь настроить OpenVPN и используемый ими SSL безопсно, ты себя сильно переоцениваешь.

Достаточно сказать что если ты явно не пропишешь нужные директивы, openvpn без проблем примет любого клиента и его серт за сервер. Очень безопасно - любой vpn клиент может по умолчанию сделать фееричный MITM :)

> Для чачи20 всё таки пишут что 256 бит уровень безопасности, но я
> помню где то 128 бит видел, возможно спутал/объединил с 25519.

Сложность взлома 25519 оценивают в примерно 128 битов симметричных шифров или RSA-2048. Только эллиптика по скорости RSA делает очень сильно. Это позволяет например чаще менять эфемерные ключи не нагружая при этом чрезмерно ни клиент ни сервер, ни заклинивая траффик.