Ich mag den RSA auch. Und mir ist er auch Sympatischer als das ECC-Zeug das IMHO oft wenig reviewd ist und viel Potentail für Backdoos bietet.
Aber das ist einfach falsch. Da haben die Kritiker schon recht:
dass das Verfahren sehr einfach ist und damit auch sehr einfach zu prüfen und die Sicherheit auch sehr einfach einzuschätzen
Es füllt mittlerweile Bücher welche Sonderfälle du alle abfangen musst, damit dein RSA sicher bleibt. (Keine zu kleinen exponenten. Keine zu großen exponenten. Keine zu ähnliche Exponenten. Padding nicht mit einer 1 am Anfang aber auch nicht mit zu vielen Nullen. Von den ganzen Bleichenbacher reinkarnationen will ich gar nicht erst anfangen.) Und das ganze in Constant time zu implementieren wird noch komplizierter.
Die Sicherheit von nem RSA festzustellen ist grauenhaft kompliziert.
Aber es ist dank der längeren Schlüssel resistenter gegen Quanencomputer.