Estoy apuntando a un nivel de seguridad de 128 bits para GnuPG, así que estoy usando SHA-256 y AES-128. Ahora tengo que elegir entre RSA-3072 y RSA-4096.
Según varias fuentes, el nivel de seguridad RSA-3072 está muy cerca de 128 bits. Basado en esta declaración, elegir RSA-4096 sobre RSA-3072 no tiene sentido. Las claves públicas son significativamente más grandes, la velocidad de firma / verificación es dos veces más lenta y la seguridad adicional que agrega es inútil; los algoritmos de cifrado simétrico y de resumen son 128 bits seguros después de todo.
El único problema que conozco es una posible reducción de la compatibilidad.
¿Todas las implementaciones de GnuPG (incluidos los dispositivos de hardware como las tarjetas inteligentes) que admiten RSA-4096 también son compatibles con RSA-3072? ¿Es mejor utilizar RSA-4096 para una compatibilidad máxima o puedo usar RSA-3072 de forma segura?