¿Cómo sabría el atacante si una suposición es exitosa?
Hay tantos formatos en los que se almacenan las claves privadas. Como atacante, si pudiera suponer que no almacenó su clave privada en su propio formato, solo vería si mi suposición de fuerza bruta descifraba la clave privada a cualquiera de los formatos que había esperar una clave privada en.
Por ejemplo, si asumiera que su clave privada era una clave PGP con armadura ASCII, simplemente verificaría si los primeros bytes se descifraban
-----BEGIN PGP PRIVATE KEY BLOCK-----
y viceversa para otros formatos.
Si el atacante tuviera una lista de posibles candidatos de clave pública para la clave privada, también podría comparar el módulo de la clave privada desencriptada resultante con el módulo de las claves públicas y si una coincide, sabría que tenía una correcto descifrado.
Además de la fuerza bruta, ¿existen otros métodos para descifrar la clave privada dada la información anterior?
Ninguna que yo sepa, siempre y cuando uses un cifrado simétrico fuerte. Otras vías de ataque significarían que había graves debilidades en el cifrado simétrico que usas para cifrar la clave privada.
¿Hay diferencias significativas entre PBKDF2 y bcrypt en este escenario?
Probablemente no. Ambos se consideran fuertes para la derivación clave, aunque las opiniones difieren sobre las ventajas y desventajas exactas. Una desventaja que ambos comparten es que no usan mucha memoria para derivar claves, por lo que pueden implementarse en procesadores muy rápidos y altamente paralelos (piense en las GPU y FPGA).
(editar: agregó la parte sobre la comparación con el módulo de clave pública para confirmar un descifrado correcto)