OpenPGP-Schlüsseltypen erklärt: RSA vs Curve25519 vs P-384

Wenn du einen neuen PGP-Schlüssel erzeugst, fragt dich das Werkzeug "RSA-3072? RSA-4096? ECC Curve25519? ECC P-384?" Für die Sicherheit ist die Antwort weniger wichtig, als man denkt — alle vier Optionen sind ungebrochen — aber sie ist wichtig für Geschwindigkeit, Schlüsselgröße und welche Clients deine Nachrichten lesen können.

RSA — der klassische Standard

RSA-3072 und RSA-4096 sind die Arbeitspferde von PGP. RSA wird seit den 1970er Jahren verwendet und jeder PGP-fähige Client unterstützt es. Schlüssel sind groß (ein 4096-Bit-Privater-Schlüssel ist etwa 7 KB), die Schlüsselerzeugung ist langsam (manchmal 30+ Sekunden im Browser), und Signaturen und Geheimtexte sind entsprechend sperrig.

Verwende RSA, wenn du maximale Kompatibilität brauchst — eingebettete Clients, sehr alte GPG-Versionen, Aufsichtsbehörden, die es ausdrücklich vorschreiben.

ECC Curve25519 — der moderne Standard

Ed25519 (Signieren) und X25519 (Verschlüsseln) sind die modernen elliptische-Kurven-Ersatztypen. Schlüssel sind winzig (ein privater Schlüssel ist etwa 32 Byte), die Schlüsselerzeugung ist praktisch sofort fertig, und Operationen sind 5–10× schneller als RSA bei gleicher Sicherheitsstärke.

Die Kompatibilität ist gut und wächst — jeder aktiv gepflegte PGP-Client (GnuPG, ProtonMail, Thunderbird, diese App) unterstützt Curve25519. Die einzigen Ausreißer sind manche eingebetteten HSMs und sehr alte Setups.

Verwende Curve25519 für neue Schlüssel, sofern du keinen besonderen Grund dagegen hast. Genau das empfiehlt der OpenPGP-Standard seit der RFC-Aktualisierung 2024.

ECC P-384 — für Compliance-Regime

NIST-Kurven (P-256, P-384, P-521) sind mathematisch ähnlich wie Curve25519, verwenden aber Parameter, die vom US National Institute of Standards gewählt wurden. Sie sind etwas langsamer und haben eine umstrittenere Herkunft — die Parameter wurden nicht öffentlich abgeleitet.

Verwende P-384 nur, wenn ein Compliance-Rahmen ausdrücklich eine NIST-Kurve verlangt — FIPS-140-Regierungseinsätze, bestimmte Bankenstandards. Für alles andere ist Curve25519 die bessere Engineering-Wahl.

Eine einfache Regel

• Neue persönliche Schlüssel: ECC Curve25519.
• Alte Systeme müssen deine Nachrichten lesen: RSA-3072 (die kleinere der beiden RSA-Optionen genügt).
• Compliance-Audit verlangt NIST-Kurven: ECC P-384.

Was ist mit Post-Quantum?

Alle drei oben sind theoretisch verwundbar gegenüber einem hinreichend großen Quantencomputer (den es öffentlich noch nicht gibt). Die OpenPGP-Arbeitsgruppe finalisiert derzeit Post-Quantum-Algorithmen (ML-KEM und ML-DSA), aber sie sind noch nicht in der Mainstream-Client-Unterstützung. Für jetzt ist Curve25519 die beste Wahl — wenn Post-Quantum-Hybride landen, rotierst du dann.