<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Choosing crypto functions: The 25519 DH functions are recommended for most uses, along with either AESGCM_SHA256 or ChaChaPoly_BLAKE2s. For an extreme security margin, you could use the 448 DH functions with either AESGCM_SHA512 or ChaChaPoly_BLAKE2b.</blockquote><div><br></div><div>This might not actually be very good advice in the case of BLAKE2b. The reason is that BLAKE2b actually outperforms BLAKE2s by a pretty considerable amount on 64bit platforms. ( <a href="https://blake2.net/sandy.png">https://blake2.net/sandy.png</a> ) So, it's possible that one might prefer 25519 with ChaChaPoly_BLAKE2b, for the performance alone. JP -- correct me if I'm wrong here about that.</div><div><br></div><div>(On the other hand, now that HMAC is in the mix, speed wishes involving the HASH function sort of go out the window. Hopefully someone can prove that BLAKE2b's keyed mode is reducable to NMAC, and then we'll inherit those nice security proofs.)</div></div>