Generar nueva clave - ECC vs RSA

Está bien seguir con RSA. ECC es más eficiente en el espacio, pero no es compatible en todas partes.

  

Mis preguntas son si es seguro comenzar a usar ECC o ¿debería seguir con RSA durante al menos unos años más?

Cuando se usa curve25519, ECC se considera más seguro . Es rápido e inmune a una variedad de ataques de canal lateral por diseño. La RSA no es menos segura, aunque en términos prácticos, y también es considerada irrompible por la tecnología moderna. Es lo suficientemente rápido para ser utilizado por GnuPG.

  

Pero, ¿es esta curva compatible con las versiones anteriores de GnuPG y otros sistemas o hay algunos problemas?

Es incompatible con sistemas antiguos. Es necesario que todas las partes soporten el mismo algoritmo. Sin embargo, puede tener varias subclaves. Puede tener una única subclave más nueva con ECC, y una más antigua con RSA regular que luego podría revocarse una vez que el soporte de ECC sea omnipresente.

  

También será esto algo que podamos usar durante los próximos años o, si me parece, algún cambio constante en términos de algunas curvas se estandarizará y permanecerá durante mucho tiempo (como RSA) y será compatible con todos los sistemas y algunas curvas podrían desaparecer porque no son dignos de confianza?

ECC es viejo. No es tan antiguo como RSA, pero aún es viejo y está bien estudiado. Es poco probable que la curva25519 desaparezca debido a la confiabilidad, ya que utiliza los números de nada en mi manga. Es una curva segura . Curve25519 utiliza modulo p = 2 ²⁵⁵ - 19 y y ² = x ³ + 486662x ² + x . Compare esto con una curva NIST estándar como P-256, donde estos valores son ... inexplicables en el mejor de los casos, lo que hace que las personas especulen que fueron diseñados intencionalmente para debilitarlos a clases de ataques conocidos solo por la NSA (NOBUS). La única razón por la que se perdería el favor es si se encuentra un ataque importante en esta clase de curvas.

  

También encontré un documento en el que la NSA recomienda seguir usando RSA y esperar la criptografía post-cuántica en lugar de usar ECC.

Esto es en parte porque ECC requiere un tamaño de clave más pequeño. Para la seguridad clásica, esto está absolutamente bien, y una clave ECC de 256 bits puede ser más fuerte que una clave clásica de 2048 bits. Ambos tipos de claves pueden romperse al funcionar computadoras cuánticas criptoanalíticas. Para que una computadora cuántica funcione, necesita una cantidad de qubits (el equivalente cuántico de los transistores). Es muy difícil lograr que una gran cantidad de qubits trabajen juntos debido a un fenómeno conocido como decoherencia cuántica, por lo que el número de ellos puede ser limitado por algún tiempo. Es posible que una computadora cuántica criptoanalítica tenga suficientes qubits para romper una clave ECC de 256 bits, pero no una clave RSA de 2048 bits. Puede ser mejor esperar para la criptografía post-cuántica como SIDH, NTRU o NewHope que resisten todos estos ataques.

  

Solo soy un usuario promedio de GnuPG, pero me parece que hay algún tipo de incertidumbre sobre la forma en que se desarrolla la criptografía en los próximos años.

Es perfectamente aceptable seguir usando RSA. Una vez que se admite mejor el ECC, puede migrar a él en forma de una nueva subclave. Las claves y firmas de ECC son mucho más pequeñas, por lo que si esta es una prioridad para usted, es posible que desee comenzar a usar ECC. Las claves y firmas RSA son grandes y pueden ser bastante difíciles de manejar.

La ventaja de las curvas elípticas es que permiten claves mucho más pequeñas para un nivel dado de seguridad presumida *.

Sin embargo, a mi entender.

1. El gobierno de EE. UU. creó algunas curvas populares sin dar ninguna indicación de por qué se eligieron los parámetros. Existe una preocupación entre los tipos más paranoicos de que el gobierno de EE. UU. Haya "atrasado" la curva al elegir los parámetros de manera que los ayude a descifrar la criptografía según la curva.
2. Existen curvas de "nada en la manga" que son más nuevas, pero el soporte de software se convierte en un problema.
3. ECDSA tradicional (como DSA pero a diferencia de RSA) depende fundamentalmente del generador de números aleatorios en los sistemas utilizados para la firma. EdDSA soluciona esto, pero es una opción bastante nueva (lea: es posible que no se admita en entornos que utilizan software más antiguo pero aún compatible) y parece que solo se admite con la curva 25519.
4. La curva 25519 es una curva de "nada bajo mi manga" de un criptógrafo no gubernamental respetado, pero "solo" está dirigida al nivel de seguridad de 128 bits.
5. ECC en general es bastante nuevo en la medida en que puedo decir que GnuPG 1.x no lo admite en absoluto. Algunas de las versiones de distribución compatibles todavía están en la versión 1.x como su implementación principal de GnuPG.
6. Si bien la computación cuántica es una amenaza para toda la criptografía clásica, parece que es más una amenaza para la ECC que la RSA (dada la longitud de la clave de práctica actual para ambas).

Teniendo en cuenta todo lo anterior, me quedo con el RSA de 4096 bits.

* Ese es el momento de descifrar la clave dados los mejores ataques conocidos actualmente.