RSA-4096 與 RSA-3072 在支持/速度和安全性方面有很大區別嗎？

我正在創建簽名證書，並且可以選擇 RSA-4096 或 RSA-3072。兩者的安全性有很大區別嗎？我知道人們說 RSA-3072 在 2030 年之前應該會很好。但人們也可能更喜歡高安全性。但如果它對速度有很大影響，他們可能不會。那麼您認為未來 10 年是否值得使用 RSA-4096？

我正在創建簽名證書，並且可以選擇 RSA-4096 或 RSA-3072。兩者的安全性有很大區別嗎？

在我看來，不，沒有顯著差異。

在考慮 RSA-3072 時，未來存在三個潛在的漏洞：

• 有人積累了足夠的計算能力來使用目前算法破解 3072 位模數
• 有人發明了一種執行速度更快的新算法
• 有人建造了一台大而可靠的量子電腦

至於第一個，嗯，目前的算法將使用 circa $ 2^{128} $ 打破它的計算努力 - 我們相信這對任何人來說都是不可行的（並且會在很長一段時間內保持這種狀態）

至於第二個，這很難評估（並且沒有跡象表明任何未來的算法會發現 4096 位模數明顯更難）。

至於量子電腦，嗯，這是最現實的可能性。此外，我們知道 4096 位模數的量子電腦的大小（以及所需的計算量）並不比 3072 位模數大得多；因此，額外的工作不會獲得大量的安全性。

所以，底線是，對於第一種和第三種可能性，幾乎沒有實際區別；唯一的區別在於第二種可能性，這是不可知的。

看到這裡，他們提到對 R​​SA-3072 沒有特別好的軟體支持。

引用自：https://crypto.stackexchange.com/questions/90211