Veo dos razones principales por las que es posible que no quieras usar ECC :
Razón práctica: la comunicación implica necesariamente dos partes, el remitente y el destinatario. ECC solo se puede utilizar si tanto el remitente como el receptor lo admiten. Como ha notado, las implementaciones existentes y desplegadas no están necesariamente en condiciones todavía; Si usa una clave pública de ECC, las personas pueden enviarle mensajes cifrados con esa clave o verificar sus firmas con esa clave, solo si su implementación de OpenPGP incluye el código correspondiente.
Por lo tanto, su elección de ECC o no depende de si desea maximizar la interoperabilidad o prefiere ser un "adoptador temprano" (aunque en el caso de ECC, realmente los primeros adoptadores ya están allí; el ECC se está convirtiendo en la corriente principal). / p>
Razón moral: matemáticamente, no tenemos pruebas de que ninguno de los algoritmos criptográficos que empleamos sea realmente sólido contra los ataques. Ni siquiera sabemos si es matemáticamente posible ser robusto contra los ataques. En este momento, el único método que tenemos para evaluar la fuerza de cualquier algoritmo criptográfico es definirlo, y luego dejar que muchos criptógrafos trabajen en él durante algunos años. Si ninguna de estas personas inteligentes encontró algo incorrecto en el algoritmo, entonces puede saber que si el algoritmo es débil, al menos no es obviamente débil.
Las curvas elípticas se han propuesto como objetos adecuados para la criptografía en 1985 (por Koblitz y Miller, de forma independiente). Las matemáticas de las curvas elípticas se han estudiado durante unos 40 años antes de eso. Así que ECC puede exhibir aproximadamente 70 años de exposición, 30 de los cuales se encuentran en un entorno definitivamente criptográfico. Eso no es malo.
Factorización de enteros , en la que se basa el RSA, puede presumir de 35 años de exposición criptográfica (el RSA se propuso en 1978) , y más que un 2500 años para las matemáticas subyacentes. Por lo tanto, se puede argumentar que la seguridad de RSA es "más entendida" que la de las curvas elípticas.
Personalmente, creo que el ECC es lo suficientemente maduro como para ser implementado, y dado que el ECC está muy de moda, las implementaciones se vuelven comunes y podemos esperar que GnuPG se alinee pronto. Por lo tanto, mi recomendación es: ECC está bien, siempre y cuando esté preparado para enfrentar algunos problemas de interoperabilidad durante algunos años.
(Un punto oscuro de la implementación de ECC es que hay muy pocas implementaciones de ECC "genéricas"; la mayoría de las implementaciones son específicas de un conjunto restringido de curvas admitidas, a menudo restringidas a las dos curvas NIST P-256 y P-384. la elección de la curva para su clave por lo tanto tiene un impacto no trivial en la interoperabilidad. Sin embargo, la P-256 está bien para la seguridad, por lo que puede usarla y dejar de preocuparse.)