{"id":139,"date":"2026-06-20T13:04:06","date_gmt":"2026-06-20T13:04:06","guid":{"rendered":"https:\/\/shattered.io\/no\/2026\/06\/20\/ed25519-vs-rsa\/"},"modified":"2026-06-20T13:05:44","modified_gmt":"2026-06-20T13:05:44","slug":"ed25519-vs-rsa","status":"publish","type":"post","link":"https:\/\/shattered.io\/no\/ed25519-vs-rsa\/","title":{"rendered":"Ed25519 vs RSA: 33x raskere signaturer, 128-bit sikkerhet [2026]"},"content":{"rendered":"\n

Ed25519<\/strong> signerer 50.000 meldinger per sekund. RSA-2048<\/strong> klarer 1.500. RSA-4096 klarer knapt 200. Det er ikke en marginal forskjell, det er to st\u00f8rrelsesordener. Likevel kj\u00f8rer millioner av servere, SSH-n\u00f8kler og sertifikater fremdeles p\u00e5 RSA, gjerne med argumentet om at “det fungerer”. Denne artikkelen sammenligner de to algoritmene punkt for punkt, med benchmarks, n\u00f8kkelst\u00f8rrelser, signaturdimensjoner og en klar migreringsguide.<\/p>\n\n\n\n

Hurtigoversikt: Ed25519 vs RSA [2026]<\/h2>\n\n\n\n

Ed25519 vinner p\u00e5 nesten alle tekniske parametere: 33 ganger raskere signaturer enn RSA-2048, 250 ganger raskere n\u00f8kkelgenerering enn RSA-4096, og signaturer som er 75 % mindre. RSA holder stand prim\u00e6rt i eldre systemer og milj\u00f8er der kompatibilitet med sv\u00e6rt gamle klienter er p\u00e5krevd. For alle nye implementasjoner i 2026 peker bevisene mot Ed25519.<\/p>\n\n\n\n

Faktor<\/th>Ed25519<\/th>RSA-2048<\/th>RSA-4096<\/th><\/tr><\/thead>
Signeringshastighet<\/td>~50.000 ops\/sek<\/td>~1.500 ops\/sek<\/td>~200 ops\/sek<\/td><\/tr>
N\u00f8kkelst\u00f8rrelse<\/td>256 bit<\/td>2048 bit<\/td>4096 bit<\/td><\/tr>
Signaturst\u00f8rrelse<\/td>64 byte<\/td>256 byte<\/td>512 byte<\/td><\/tr>
Sikkerhetsniv\u00e5<\/td>~128-bit<\/td>~112-bit<\/td>>128-bit<\/td><\/tr>
N\u00f8kkelgenerering<\/td>~1 ms<\/td>~50 ms<\/td>~250 ms<\/td><\/tr>
Deterministisk signering<\/td>Ja<\/td>Nei<\/td>Nei<\/td><\/tr>
Pris<\/td>Gratis (\u00e5pen kildekode)<\/td>Gratis (\u00e5pen kildekode)<\/td>Gratis (\u00e5pen kildekode)<\/td><\/tr>
Kvante-resistent<\/td>Nei<\/td>Nei<\/td>Nei<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Hva er RSA?<\/h2>\n\n\n\n

RSA ble publisert i 1977 av Ron Rivest, Adi Shamir og Leonard Adleman ved MIT, derav forkortelsen. Algoritmen bygger p\u00e5 heltallsfaktorisering: gitt to store primtall p<\/em> og q<\/em>, er det enkelt \u00e5 beregne produktet n = p \u00d7 q<\/em>, men ekstremt vanskelig \u00e5 g\u00e5 den andre veien og finne p<\/em> og q<\/em> gitt bare n<\/em> og den offentlige n\u00f8kkelen. Sikkerheten hviler p\u00e5 at ingen effektiv faktoriseringsalgoritme for klassiske datamaskiner er kjent.<\/p>\n\n\n\n

RSA er et asymmetrisk system: en offentlig n\u00f8kkel for kryptering eller verifisering, og en privat n\u00f8kkel for dekryptering eller signering. Sikkerhetsniv\u00e5et er direkte knyttet til n\u00f8kkelst\u00f8rrelsen i bits. RSA-2048, minimumskravet i de fleste moderne retningslinjer for 2026, gir omtrent 112-bit sikkerhet. RSA-3072 er n\u00e6rmere 128-bit sikkerhet, mens RSA-4096 overskrider det.<\/p>\n\n\n\n

Problemet med RSA er at n\u00f8kkelst\u00f8rrelsen m\u00e5 skaleres aggressivt etter hvert som databehandlingskraft \u00f8ker. RSA-1024 er i dag fullstendig brutt. RSA-512 ble faktisk faktorisert tilbake i 1999 med dedikert maskinvare. \u00c5 g\u00e5 fra RSA-2048 til RSA-4096 gj\u00f8r alle kryptografiske operasjoner dramatisk tregere fordi matematikken skalerer polynomisk med n\u00f8kkelst\u00f8rrelsen.<\/p>\n\n\n\n

RSA ble standardisert for digitale signaturer via PKCS#1 og RFC 8709<\/a>. Det er fremdeles i utstrakt bruk i TLS-sertifikater, kodesignering for Windows-drivere og programvare, e-post (S\/MIME), og en rekke eldre systemer som mangler st\u00f8tte for nyere alternativer. For norske organisasjoner med eldre nettverksinfrastruktur fra tidlig 2010-tall er RSA ofte den eneste algoritmen nettverksenheter forst\u00e5r.<\/p>\n\n\n\n

RSA har et bredt landskap av angrepsflater knyttet til implementasjon, ikke bare matematikk. Bleichenbacher-angrepet fra 1998 utnytter feilh\u00e5ndtering av PKCS#1 v1.5 padding og dukker fortsatt opp i sikkerhetsrapporter. ROBOT-angrepet (2017) var en variant som rammet 27 av verdens 100 st\u00f8rste HTTPS-domener, inkludert Facebook og PayPal. Disse angrepene eksisterer ikke i Ed25519 fordi designet er fundamentalt annerledes.<\/p>\n\n\n\n

Hva er Ed25519?<\/h2>\n\n\n\n

Ed25519 er et digitalt signatursystem basert p\u00e5 EdDSA<\/strong> (Edwards-curve Digital Signature Algorithm) over elliptisk kurve Curve25519<\/strong>. Kurven ble designet av kryptografen Daniel J. Bernstein (kjent som DJB), som ogs\u00e5 laget str\u00f8msiferen ChaCha20 og meldingsautentiseringskoden Poly1305. Curve25519 ble valgt med eksplisitt fokus p\u00e5 \u00e5 motst\u00e5 implementasjonsfeil og sidekanalsangrep, to svakheter som historisk har rammet RSA hardt i praksis. Ed25519 ble formelt standardisert i RFC 8032<\/a> av IETF i 2017.<\/p>\n\n\n\n

Der RSA hviler p\u00e5 heltallsfaktorisering, hviler Ed25519 p\u00e5 det diskrete logaritme-problemet over en elliptisk kurve. Elliptiske kurver gir mye mer sikkerhet per bit enn RSA: en 256-bit Ed25519-n\u00f8kkel tilbyr omtrent 128-bit effektiv sikkerhet. Det er det samme sikkerhetsniv\u00e5et som RSA-3072, men oppn\u00e5dd med en n\u00f8kkel som er 12 ganger kortere.<\/p>\n\n\n\n

En av de viktigste tekniske fordelene med Ed25519 er deterministisk signering<\/strong>. RSA-PSS og mange ECDSA-implementasjoner krever en tilfeldig nonce per signatur. En svak tilfeldighetsgenerator (PRNG) kan lekke den private n\u00f8kkelen. PlayStation 3 ble kompromittert i 2010 nettopp fordi Sony brukte en konstant nonce i ECDSA, noe som tillot angripere \u00e5 beregne den private signeringsn\u00f8kkelen. Ed25519 unng\u00e5r hele problemet ved \u00e5 beregne nonce deterministisk fra selve meldingen og den private n\u00f8kkelen, uten ekstern tilfeldighet.<\/p>\n\n\n\n

Ed25519 ble integrert i OpenSSH 6.5<\/a> i januar 2014 og er i dag standard-anbefalingen for nye SSH-n\u00f8kler i alle moderne distribusjonsveiledninger. WireGuard VPN bruker Curve25519 til n\u00f8kkelutveksling. Signal-protokollen bruker XEdDSA, en variant av Ed25519, for meldingsautentisering p\u00e5 tvers av WhatsApp, Signal og andre applikasjoner som har lisensiert protokollen.<\/p>\n\n\n\n

Tekniske spesifikasjoner: fullstendig sammenligning<\/h2>\n\n\n\n

Tabellen under sammenligner Ed25519 og de to vanligste RSA-variantene punkt for punkt med tall fra offisielle spesifikasjoner og uavhengige analyser.<\/p>\n\n\n\n

Parameter<\/th>Ed25519<\/th>RSA-2048<\/th>RSA-4096<\/th><\/tr><\/thead>
Algoritmebase<\/td>Elliptisk kurve (Curve25519 \/ EdDSA)<\/td>Heltallsfaktorisering<\/td>Heltallsfaktorisering<\/td><\/tr>
N\u00f8kkelst\u00f8rrelse (bits)<\/td>256<\/td>2048<\/td>4096<\/td><\/tr>
Offentlig n\u00f8kkel (bytes, r\u00e5)<\/td>~32 byte<\/td>~256 byte<\/td>~512 byte<\/td><\/tr>
Privat n\u00f8kkel (bytes, serialisert)<\/td>~64 byte<\/td>~1.192 byte (PKCS#8)<\/td>~3.272 byte (PKCS#8)<\/td><\/tr>
Signaturst\u00f8rrelse<\/td>64 byte<\/td>256 byte<\/td>512 byte<\/td><\/tr>
Sikkerhetsniv\u00e5 (bits)<\/td>~128-bit<\/td>~112-bit<\/td>>128-bit<\/td><\/tr>
Signeringshastighet<\/td>~50.000 ops\/sek<\/td>~1.500 ops\/sek<\/td>~200 ops\/sek<\/td><\/tr>
Verifiseringshastighet<\/td>~15.000\u201320.000 ops\/sek<\/td>~50.000 ops\/sek<\/td>~13.000 ops\/sek<\/td><\/tr>
N\u00f8kkelgenereringstid<\/td>~1 ms<\/td>~50\u2013100 ms<\/td>~250 ms<\/td><\/tr>
Deterministisk signering<\/td>Ja<\/td>Nei<\/td>Nei<\/td><\/tr>
Batch-verifisering<\/td>Ja<\/td>Nei<\/td>Nei<\/td><\/tr>
Standardisert<\/td>RFC 8032 (IETF, 2017)<\/td>PKCS#1 \/ RFC 8017<\/td>PKCS#1 \/ RFC 8017<\/td><\/tr>
Kvante-resistent<\/td>Nei<\/td>Nei<\/td>Nei<\/td><\/tr>
FIPS 140-godkjent<\/td>Nei<\/td>Ja<\/td>Ja<\/td><\/tr>
OpenSSH-st\u00f8tte siden<\/td>Versjon 6.5 (januar 2014)<\/td>Alltid st\u00f8ttet<\/td>Alltid st\u00f8ttet<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ytelsessammenligning: benchmark-tall<\/h2>\n\n\n\n

Ytelse er der Ed25519 skiller seg dramatisk fra RSA. Tallene fra libsodium<\/a> og uavhengige analyser (Goteleport, getacert.com) er konsistente:<\/p>\n\n\n\n

Operasjon<\/th>Ed25519<\/th>RSA-2048<\/th>RSA-4096<\/th>Ed25519-fordel<\/th><\/tr><\/thead>
Signering (ops\/sek)<\/td>~50.000<\/td>~1.500<\/td>~200<\/td>33x raskere enn RSA-2048; 250x raskere enn RSA-4096<\/td><\/tr>
Verifisering (ops\/sek)<\/td>~15.000\u201320.000<\/td>~50.000<\/td>~13.000<\/td>RSA-2048 raskere p\u00e5 enkelt verifisering; men Ed25519 st\u00f8tter batch-verifisering<\/td><\/tr>
N\u00f8kkelgenerering<\/td>~1 ms<\/td>~50\u2013100 ms<\/td>~250 ms<\/td>50\u2013250x raskere<\/td><\/tr>
Signaturst\u00f8rrelse<\/td>64 byte<\/td>256 byte<\/td>512 byte<\/td>75 % kompaktere enn RSA-2048<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

En viktig nyanse: RSA verifiserer<\/em> faktisk signaturer raskere enn det signerer. Det skyldes at RSA-verifisering bruker den offentlige eksponenten (typisk 65537), som er liten og rask \u00e5 beregne. RSA-signering bruker den store private eksponenten og er tilsvarende langsommere. Ed25519 er jevnt raskt p\u00e5 begge operasjoner, og med batch-verifisering, der mange signaturer kontrolleres samlet, sl\u00e5r det RSA-2048 selv p\u00e5 verifisering.<\/p>\n\n\n\n

Et konkret serverscenario: en SSH-autentiseringstjeneste som h\u00e5ndterer 5.000 innlogginger per sekund under RSA-4096 bruker 25 sekunder bare p\u00e5 signering. Med Ed25519 tar den samme arbeidsmengden 0,1 sekunder. Under h\u00f8y belastning er dette synlig i CPU-utnyttelsesgrafer og direkte m\u00e5lbart i responstid.<\/p>\n\n\n\n

N\u00f8kkelgenerering i praksis<\/h3>\n\n\n\n

Et enkelt shell-eksperiment illustrerer ytelsesforskjellen tydelig. \u00c5 kj\u00f8re time ssh-keygen -t rsa -b 4096 -f \/tmp\/test_rsa -N \"\"<\/code> bruker typisk 200\u2013300 ms p\u00e5 moderne maskinvare. Den tilsvarende kommandoen med Ed25519 fullf\u00f8rer p\u00e5 under 2 ms. For containeriserte milj\u00f8er der hundrevis av ephemeral-instanser genererer n\u00f8kler ved oppstart, utgj\u00f8r dette en reell ytelsesforskjell i total oppstartstid.<\/p>\n\n\n\n

N\u00f8kkelst\u00f8rrelser og lagringsplass<\/h2>\n\n\n\n

En Ed25519-offentlig n\u00f8kkel i OpenSSH-format er rundt 68 tegn inkludert typeidentifikator og kommentar. En RSA-4096 offentlig n\u00f8kkel i samme format er over 700 tegn, mer enn ti ganger mer. Det h\u00f8res trivielt ut inntil du tenker p\u00e5 milj\u00f8er der n\u00f8kler lagres i databaser, kringkastes over nettverk, eller inkluderes i JWT-tokens og sertifikater.<\/p>\n\n\n\n

En API-tjeneste som signerer \u00e9n million JWT-tokens per dag med RSA-4096 sender fire ganger mer data i signaturdelen sammenlignet med Ed25519. Over et \u00e5r med h\u00f8y belastning utgj\u00f8r det m\u00e5lbar b\u00e5ndbreddekostnad og lagring. For digitale signaturer<\/a> i kode-signering er kompaktheten direkte relevant: programvarepakker signert med Ed25519 har vesentlig mindre overhead i signaturfiler og manifester.<\/p>\n\n\n\n

Debian, Fedora og Arch Linux har alle migrert viktige depot-signeringsn\u00f8kler til Ed25519 eller ECDSA de siste \u00e5rene, nettopp av disse grunnene. GitHub.com signerer alle commit-verifiseringsoperasjoner med Ed25519 for interne systemer der de kontrollerer begge ender av kommunikasjonen.<\/p>\n\n\n\n

Sikkerhetsniv\u00e5 og angrepsscenarioer<\/h2>\n\n\n\n

Sikkerhetsniv\u00e5 m\u00e5les i bits og representerer den logaritmiske kostnaden ved \u00e5 bryte algoritmen med beste kjente angrep. 128-bit sikkerhet betyr at det krever rundt 2^128 operasjoner for \u00e5 kompromittere n\u00f8kkelen, noe som er praktisk umulig med klassisk databehandling i overskuelig fremtid.<\/p>\n\n\n\n

RSA-2048 gir bare ~112-bit effektiv sikkerhet, 16 bit under det gjeldende 128-bit-m\u00e5let. Det skyldes at algoritmene for faktorisering (som det generelle tallsil-sevet, GNFS) er mer effektive enn ren brute force. RSA-3072 er den minste RSA-varianten som gir ~128-bit sikkerhet. RSA-4096 gir trygg margin, men til en dramatisk ytelsesstraf som tabellene over viser.<\/p>\n\n\n\n

Ed25519 gir ~128-bit sikkerhet med bare 256-bit n\u00f8kler. Det er ingen kjente strukturelle angrep mot Curve25519 utover klassisk diskret logaritme-problemet, og kurven ble valgt delvis for \u00e5 unng\u00e5 de “twist”-angrep som rammer mange andre elliptiske kurver i d\u00e5rlige implementasjoner. Den deterministiske signeringsprosessen eliminerer i tillegg en hel klasse angrep basert p\u00e5 nonce-misbruk.<\/p>\n\n\n\n

Kjente angrep og historiske hendelser<\/h3>\n\n\n\n

RSA har en rekke dokumenterte angrepsscenarioer utover ren faktorisering:<\/p>\n\n\n\n