PGP Tool

Учиться · 7 мин. чтения · 2026-04-19

Типы ключей OpenPGP: RSA vs Curve25519 vs P-384

Современный OpenPGP поддерживает три семейства ключей. У каждого свои компромиссы по скорости, размеру и совместимости. Вот как выбрать.

Когда вы генерируете новый PGP-ключ, инструмент спрашивает: "RSA-3072? RSA-4096? ECC Curve25519? ECC P-384?" Для безопасности ответ значит меньше, чем кажется — все четыре варианта не взломаны — но он очень важен для скорости, размера ключа и того, какие клиенты смогут читать ваши сообщения.

RSA — классический выбор по умолчанию

RSA-3072 и RSA-4096 — рабочие лошадки PGP. RSA в ходу с 1970-х, и его поддерживает любой PGP-клиент. Ключи большие (закрытый 4096-бит весит около 7 КБ), генерация медленная (иногда 30+ секунд в браузере), а подписи и шифртексты соответственно громоздкие.

Используйте RSA, когда нужна максимальная совместимость — встраиваемые клиенты, очень старые версии GPG, регуляторы, явно его требующие.

ECC Curve25519 — современный выбор по умолчанию

Ed25519 (подпись) и X25519 (шифрование) — современные замены на эллиптических кривых. Ключи крошечные (закрытый — около 32 байт), генерация почти мгновенная, операции в 5–10× быстрее RSA при той же стойкости.

Совместимость хорошая и растёт — каждый активно поддерживаемый PGP-клиент (GnuPG, ProtonMail, Thunderbird, это приложение) понимает Curve25519. Отстают только некоторые встраиваемые HSM и очень старые сборки.

Используйте Curve25519 для новых ключей, если нет особой причины поступить иначе. Именно это рекомендует стандарт OpenPGP начиная с обновления RFC 2024 года.

ECC P-384 — для режимов соответствия

Кривые NIST (P-256, P-384, P-521) математически близки к Curve25519, но используют параметры, выбранные US National Institute of Standards. Они немного медленнее и имеют более спорное происхождение — параметры не выводились публично.

Используйте P-384 только когда регуляторный фреймворк явно требует кривую NIST — государственные внедрения FIPS 140, определённые банковские стандарты. Для всего остального Curve25519 — инженерно лучший выбор.

Простое правило

  • Новые личные ключи: ECC Curve25519.
  • Старым системам нужно читать ваши сообщения: RSA-3072 (меньшего из двух RSA-вариантов хватит).
  • Аудит требует кривых NIST: ECC P-384.

А как же постквантовая криптография?

Все три семейства выше теоретически уязвимы для достаточно большого квантового компьютера (которого публично пока нет). Рабочая группа OpenPGP завершает постквантовые алгоритмы (ML-KEM и ML-DSA), но в массовых клиентах их пока нет. Сейчас лучший выбор — Curve25519. Когда подоспеют постквантовые гибриды, тогда и проведёте ротацию.