La mayoría de los algoritmos de encriptación ya son relativamente lentos y juzgar el éxito también es mucho más difícil. Cuando intenta determinar la entrada para un hash, conoce la salida deseada. Sin embargo, cuando intenta descifrar el cifrado, generalmente no conoce el texto sin formato deseado, incluso si lo hace, el espacio potencial de entrada es generalmente mucho, mucho más grande.
Cada dígito de una contraseña solo vale unos 7 bits de entropía, incluso si se elige de forma aleatoria. Incluso el extremo inferior de una clave simétrica estándar generalmente utiliza 128 bits de entropía. La velocidad del hashing no importaría mucho si todos usaran contraseñas de 18 caracteres verdaderamente aleatorias. Además, el atacante generalmente desconoce el texto simple que necesita para acceder y los algoritmos de encriptación generalmente operan un poco más lento de todos modos, ya que tienen que realizar operaciones más complicadas en un conjunto más largo de datos.
Entonces, en cierto sentido, no, no hay algoritmos diseñados para ser específicamente lentos como objetivos de diseño, pero no tienen que serlo, ya que el nivel de seguridad proporcionado y la velocidad normal del algoritmo no lo hacen. hay que ser lento para ser práctico. Un ataque de fuerza bruta contra una clave bien elegida en un algoritmo de cifrado de 128 bits sin vulnerabilidades sistemáticas ya llevaría más tiempo de lo que quemaría nuestro sol, por no decir nada de las claves de 256 bits (lo que no se haría en el hardware actual antes de la muerte térmica) del universo). Ir más lento simplemente no es necesario.
Si tuviera que utilizar una función de derivación de clave para una clave derivada de contraseña, debería ser lenta, pero no querría hacer que el descifrado en sí sea lento, ya que sería ineficiente.
En cuanto al almacenamiento de claves privadas SSH, dependería completamente de la implementación de la función de derivación de claves, no de la velocidad del algoritmo de cifrado, pero sugeriría probablemente al menos 10 caracteres si quiere que resistan fuertemente el forzado brutal incluso para una derivación de clave razonablemente lenta (no estoy seguro de qué utiliza el almacenamiento de claves privadas SSH, y puede variar según el cliente).