Genera nuova chiave: ECC vs RSA

Va bene stare con RSA. ECC è più efficiente in termini di spazio, ma non è supportato ovunque.

My questions are is it safe start using ECC or should one stick with RSA for at least a few more years?

Quando si utilizza la curva 25519, ECC è considerato più sicuro . È veloce e immune da una varietà di attacchi di canale laterale di progettazione. RSA non è meno sicuro, anche se in termini pratici, ed è anche considerato indistruttibile dalla tecnologia moderna. È sufficientemente veloce per essere utilizzato da GnuPG.

But is this Curve compatible to older GnuPG-Version and other systems or are there some problems?

È incompatibile con i vecchi sistemi. È necessario che tutte le parti supportino lo stesso algoritmo. Puoi, tuttavia, avere più sottochiavi. Puoi avere una singola sottochiave più recente con ECC e una più vecchia con normale RSA che potrebbe essere successivamente revocata quando il supporto ECC è onnipresente.

Also will this be something we can use for the next few years or should I expect some constant changing in terms of some curves will be standardized and stay for a long time (like RSA) and supported by all systems and some curves might be disappear because they're not trustworthy?

ECC è vecchio. Non vecchio come RSA, ma è ancora vecchio e ben studiato. È improbabile che la curva 25519 sparisca a causa della dedizione in quanto utilizza numeri "niente-su-manica". È una curva sicura . Curve25519 utilizza modulo p = 2 ²⁵⁵ - 19 e y ² = x ³ + 486662x ² + x . Confronta questo con una curva NIST standard come P-256, dove questi valori sono ... non spiegati al meglio, inducendo le persone a ipotizzare che siano stati progettati intenzionalmente per indebolirli in classi di attacchi noti solo alla NSA (NOBUS). L'unica ragione per cui potrebbe cadere in disgrazia è se viene trovato un attacco importante su questa classe di curve.

I also came across a paper where the NSA recommends keep using RSA and wait for Post-Quantum-Cryptography instead of using ECC.

Questo è in parte perché ECC richiede una dimensione della chiave più piccola. Per la sicurezza classica, è assolutamente soddisfacente e una chiave ECC a 256 bit può essere più efficace di una chiave classica a 2048 bit. Entrambi questi tipi di chiavi possono essere interrotti da computer quantistici criptoanalitici funzionanti. Perché un computer quantico funzioni, ha bisogno di un numero di qubit (l'equivalente quantistico dei transistor). È molto difficile far funzionare una grande quantità di qubit a causa di un fenomeno noto come decoherence quantica, quindi il numero di può essere limitato per qualche tempo. È possibile che un computer quantico criptoanalitico abbia abbastanza qubit per interrompere una chiave ECC a 256 bit, ma non una chiave RSA a 2048 bit. Potrebbe essere meglio aspettare la crittografia post-quantistica come SIDH, NTRU o NewHope che resistono a tutti questi attacchi.

I'm just an average GnuPG-user but it seems to me there is some sort of uncertainty about the way cryptography develops within the next few years.

È perfettamente accettabile continuare a utilizzare RSA. Una volta supportato il supporto ECC, è possibile eseguire la migrazione sotto forma di una nuova sottochiave. Le chiavi e le firme ECC sono molto più piccole, quindi se questa è una priorità per te, potresti voler iniziare a usare ECC. Le chiavi e le firme RSA sono grandi e possono essere abbastanza ingombranti.

Il vantaggio delle curve ellittiche è che consentono chiavi molto più piccole per un dato livello di presunta sicurezza *.

Tuttavia, per quanto ne so.

1. Alcune curve popolari sono state create dal governo degli Stati Uniti senza alcuna indicazione sul motivo per cui sono stati scelti i parametri. C'è una preoccupazione tra i tipi più paranoici che il governo americano possa avere "backdoor" la curva scegliendo i parametri in un modo che li aiuti a decifrare la crittografia basata sulla curva.
2. Esistono curve "niente tra le mie maniche" che sono più nuove ma il supporto software diventa più un problema.
3. L'ECDSA tradizionale (come DSA ma a differenza di RSA) dipende in modo critico dal generatore di numeri casuali sui sistemi utilizzati per la firma. EdDSA risolve questo problema, ma è un'opzione piuttosto nuova (leggi: potrebbe non essere supportata in ambienti che utilizzano software vecchio ma ancora supportato) e sembra essere supportata solo con la curva 25519.
4. La curva 25519 è una curva "niente manica alta" da un rispettato crittografo non governativo, ma è "solo" finalizzata al livello di sicurezza a 128 bit.
5. ECC in generale è abbastanza nuovo per quanto posso dire che non è supportato affatto da GnuPG 1.x. Alcune versioni di distro ancora supportate sono ancora su 1.x come implementazione principale di GnuPG.
6. Mentre il calcolo quantistico è una minaccia per tutti i tipi di crittografia classica, sembra che sia più una minaccia per ECC che RSA (date le lunghezze delle chiavi di pratica corrente per entrambi).

Dato tutto quanto sopra, mi sto attaccando con RSA a 4096 bit.

* Questo è il momento di decifrare la chiave dati i migliori attacchi attualmente conosciuti.