Está bien seguir con RSA. ECC es más eficiente en el espacio, pero no es compatible en todas partes.
Mis preguntas son si es seguro comenzar a usar ECC o ¿debería seguir con RSA durante al menos unos años más?
Cuando se usa curve25519, ECC se considera más seguro . Es rápido e inmune a una variedad de ataques de canal lateral por diseño. La RSA no es menos segura, aunque en términos prácticos, y también es considerada irrompible por la tecnología moderna. Es lo suficientemente rápido para ser utilizado por GnuPG.
Pero, ¿es esta curva compatible con las versiones anteriores de GnuPG y otros sistemas o hay algunos problemas?
Es incompatible con sistemas antiguos. Es necesario que todas las partes soporten el mismo algoritmo. Sin embargo, puede tener varias subclaves. Puede tener una única subclave más nueva con ECC, y una más antigua con RSA regular que luego podría revocarse una vez que el soporte de ECC sea omnipresente.
También será esto algo que podamos usar durante los próximos años o, si me parece, algún cambio constante en términos de algunas curvas se estandarizará y permanecerá durante mucho tiempo (como RSA) y será compatible con todos los sistemas y algunas curvas podrían desaparecer porque no son dignos de confianza?
ECC es viejo. No es tan antiguo como RSA, pero aún es viejo y está bien estudiado. Es poco probable que la curva25519 desaparezca debido a la confiabilidad, ya que utiliza los números de nada en mi manga. Es una curva segura . Curve25519 utiliza modulo p = 2 255 - 19 y y 2 = x 3 + 486662x 2 + x . Compare esto con una curva NIST estándar como P-256, donde estos valores son ... inexplicables en el mejor de los casos, lo que hace que las personas especulen que fueron diseñados intencionalmente para debilitarlos a clases de ataques conocidos solo por la NSA (NOBUS). La única razón por la que se perdería el favor es si se encuentra un ataque importante en esta clase de curvas.
También encontré un documento en el que la NSA recomienda seguir usando RSA y esperar la criptografía post-cuántica en lugar de usar ECC.
Esto es en parte porque ECC requiere un tamaño de clave más pequeño. Para la seguridad clásica, esto está absolutamente bien, y una clave ECC de 256 bits puede ser más fuerte que una clave clásica de 2048 bits. Ambos tipos de claves pueden romperse al funcionar computadoras cuánticas criptoanalíticas. Para que una computadora cuántica funcione, necesita una cantidad de qubits (el equivalente cuántico de los transistores). Es muy difícil lograr que una gran cantidad de qubits trabajen juntos debido a un fenómeno conocido como decoherencia cuántica, por lo que el número de ellos puede ser limitado por algún tiempo. Es posible que una computadora cuántica criptoanalítica tenga suficientes qubits para romper una clave ECC de 256 bits, pero no una clave RSA de 2048 bits. Puede ser mejor esperar para la criptografía post-cuántica como SIDH, NTRU o NewHope que resisten todos estos ataques.
Solo soy un usuario promedio de GnuPG, pero me parece que hay algún tipo de incertidumbre sobre la forma en que se desarrolla la criptografía en los próximos años.
Es perfectamente aceptable seguir usando RSA. Una vez que se admite mejor el ECC, puede migrar a él en forma de una nueva subclave. Las claves y firmas de ECC son mucho más pequeñas, por lo que si esta es una prioridad para usted, es posible que desee comenzar a usar ECC. Las claves y firmas RSA son grandes y pueden ser bastante difíciles de manejar.