Va bene stare con RSA. ECC è più efficiente in termini di spazio, ma non è supportato ovunque.
My questions are is it safe start using ECC or should one stick with RSA for at least a few more years?
Quando si utilizza la curva 25519, ECC è considerato più sicuro . È veloce e immune da una varietà di attacchi di canale laterale di progettazione. RSA non è meno sicuro, anche se in termini pratici, ed è anche considerato indistruttibile dalla tecnologia moderna. È sufficientemente veloce per essere utilizzato da GnuPG.
But is this Curve compatible to older GnuPG-Version and other systems or are there some problems?
È incompatibile con i vecchi sistemi. È necessario che tutte le parti supportino lo stesso algoritmo. Puoi, tuttavia, avere più sottochiavi. Puoi avere una singola sottochiave più recente con ECC e una più vecchia con normale RSA che potrebbe essere successivamente revocata quando il supporto ECC è onnipresente.
Also will this be something we can use for the next few years or should I expect some constant changing in terms of some curves will be standardized and stay for a long time (like RSA) and supported by all systems and some curves might be disappear because they're not trustworthy?
ECC è vecchio. Non vecchio come RSA, ma è ancora vecchio e ben studiato. È improbabile che la curva 25519 sparisca a causa della dedizione in quanto utilizza numeri "niente-su-manica". È una curva sicura . Curve25519 utilizza modulo p = 2 255 - 19 e y 2 = x 3 + 486662x 2 + x . Confronta questo con una curva NIST standard come P-256, dove questi valori sono ... non spiegati al meglio, inducendo le persone a ipotizzare che siano stati progettati intenzionalmente per indebolirli in classi di attacchi noti solo alla NSA (NOBUS). L'unica ragione per cui potrebbe cadere in disgrazia è se viene trovato un attacco importante su questa classe di curve.
I also came across a paper where the NSA recommends keep using RSA and wait for Post-Quantum-Cryptography instead of using ECC.
Questo è in parte perché ECC richiede una dimensione della chiave più piccola. Per la sicurezza classica, è assolutamente soddisfacente e una chiave ECC a 256 bit può essere più efficace di una chiave classica a 2048 bit. Entrambi questi tipi di chiavi possono essere interrotti da computer quantistici criptoanalitici funzionanti. Perché un computer quantico funzioni, ha bisogno di un numero di qubit (l'equivalente quantistico dei transistor). È molto difficile far funzionare una grande quantità di qubit a causa di un fenomeno noto come decoherence quantica, quindi il numero di può essere limitato per qualche tempo. È possibile che un computer quantico criptoanalitico abbia abbastanza qubit per interrompere una chiave ECC a 256 bit, ma non una chiave RSA a 2048 bit. Potrebbe essere meglio aspettare la crittografia post-quantistica come SIDH, NTRU o NewHope che resistono a tutti questi attacchi.
I'm just an average GnuPG-user but it seems to me there is some sort of uncertainty about the way cryptography develops within the next few years.
È perfettamente accettabile continuare a utilizzare RSA. Una volta supportato il supporto ECC, è possibile eseguire la migrazione sotto forma di una nuova sottochiave. Le chiavi e le firme ECC sono molto più piccole, quindi se questa è una priorità per te, potresti voler iniziare a usare ECC. Le chiavi e le firme RSA sono grandi e possono essere abbastanza ingombranti.