Molti algoritmi di crittografia sono già relativamente lenti e giudicare il successo è anche molto più difficile. Quando si tenta di determinare l'input per un hash, si conosce l'output desiderato. Tuttavia, quando si tenta di crackare la crittografia, in genere non si conosce il testo in chiaro desiderato, anche se lo si fa, il potenziale spazio di input è generalmente molto, molto, molto più grande.
Ogni cifra di una password vale solo circa 7 bit di entropia, anche se scelta idealmente a caso. Anche la parte bassa di una chiave simmetrica standard utilizza generalmente 128 bit di entropia. La velocità dell'hash non sarebbe molto importante se tutti usassero password di 18 caratteri veramente casuali. Inoltre, il testo normale che è necessario raggiungere è generalmente sconosciuto all'attore e gli algoritmi di crittografia in genere operano un po 'più lentamente in quanto devono eseguire operazioni più complicate su un set di dati più lungo.
Quindi, in un certo senso, no, non ci sono algoritmi progettati per essere specificamente lenti come obiettivo di progettazione, ma non hanno bisogno di essere come il livello di sicurezza fornito e la normale velocità dell'algoritmo non bisogno di essere rallentato per essere pratico. Un attacco di forza bruta contro una chiave ben scelta su un algoritmo di crittografia a 128 bit privo di vulnerabilità sistematiche richiederebbe già più tempo di quello che il nostro sole brucerà, per non parlare delle chiavi a 256 bit (che non verrebbero eseguite sull'hardware corrente prima della morte termica) dell'universo). Andare più lentamente semplicemente non è necessario.
Se dovessi utilizzare una funzione di derivazione della chiave per una chiave derivata da password, sarebbe necessario essere lento, ma non vorresti rendere la decrittazione stessa lenta in quanto sarebbe inefficiente.
Come per la memorizzazione della chiave privata SSH, dipenderebbe interamente dall'implementazione della funzione di derivazione della chiave, non dalla velocità dell'algoritmo di crittografia, ma suggerirei probabilmente almeno 10 caratteri se si desidera che resista strongmente alla forzatura bruta anche per una derivazione della chiave ragionevolmente lenta (non sono sicuro di cosa stia utilizzando la chiave SSH, e può variare a seconda del client.)