https://mailarchive.ietf.org/arch/msg/cfrg/bGiT7BHITzP6Ir0coceGaeyIROE/ Отвечает DJB. Потому что сильно проще безопасную реализацию делать именно на эллиптической криптографии. Классический DH или там RSA могут быть безопасно сделаны и использованы -- просто это сильно сложнее достичь. И это если не обсуждать производительность и размеры ключей.