问在支持/速度和安全性方面，RSA-4096与RSA-3072有很大的区别吗？

EN

我正在创建签名证书的过程中，我可以选择RSA-4096或RSA-3072。两者在安全方面有很大的区别吗？

在我看来，没有，没有明显的差别。

当考虑RSA-3072时，有三个潜在的未来漏洞：

• 有人积累了足够的计算能力，用现有的算法打破3072位模数。
• 有人发明了一种新的算法，它工作得更快。
• 有人建造了一台大而可靠的量子计算机

至于第一个算法，目前的算法将使用大约2^{128}计算来打破它--我们认为这对任何人来说都是不可行的(而且还会持续很长一段时间)。

至于第二个，这很难评估(也没有迹象表明未来的算法会发现一个4096位模数明显更难)。

至于量子计算机，这是最现实的可能性。此外，我们还知道，对于4096位模数，量子计算机的大小(以及所需的计算量)并不比3072位模数大得多；因此，额外的工作不会获得很大的安全性。

因此，底线是，对于第一种可能性和第三种可能性，几乎没有什么实际差别；唯一的区别是第二种可能性，这是不可知的。

请参阅这里，他们提到RSA-3072没有特别好的软件支持。