Para los bits donde se usa RSA, OpenVPN en realidad usa SSL / TLS , en el que las claves asimétricas se utilizan como parte de certificados X.509 . No hay una limitación intrínseca (*) para el tamaño de clave en los certificados X.509, por lo que el cambio a claves de 2048 bits debería "simplemente funcionar". Las claves más grandes pueden tener algunas limitaciones internas en algunas implementaciones, pero OpenVPN utiliza OpenSSL que está perfectamente a la altura de la tarea.
Podría decirse que las implementaciones de SSL que no pueden usar claves RSA mayores de 1024 bits deberían cambiarse, ya que son descuidadas. El RSA de 1024 bits no está (aún) roto (el registro actual es para una clave de 768 bits ) pero parece estar al alcance de la tecnología actual (usando una cantidad sustancial de millones de dólares y una máquina muy específica para construir). Varios cuerpos (por ejemplo, NIST) han recomendado encarecidamente el traslado a teclas más grandes durante varios años. Por lo tanto, es probable que una implementación que no admita claves RSA mayores de 1024 bits no se mantenga, lo que nunca es bueno.
(*) En realidad, la longitud de un certificado X.509 bien formada se limita a 702223880805592151456759840151962786569522257399338504974336254522393264865238137237142489540654437582500444843247630303354647534431314931612685275935445798350655833690880801860555545317367555154113605281582053784524026102900245630757473088050106395169337932361665227499793929447186391815763110662594625664 bytes, lo que permite una clave RSA máxima longitud de menos 5617791046444737211654078721215702292556178059194708039794690036179146118921905097897139916325235500660003558745981042426837180275450519452901482207483566386805246669527046414884444362538940441232908842252656430276192208823201965046059784704400851161354703458893321819998351435577491134526104885300757005312 trozos (que tiene para tener en cuenta unos pocos miles de bits para los otros campos de certificado).