А если чуть-чуть забороть паранойу? и взять ключ на 2048?

If you need more security than RSA-2048 offers, the way to go would be to switch to elliptical curve cryptography — not to continue using RSA.

Ключ 2048 «ускоряет» процесс дешифровки на тысячу циклов на пару секунд, так что в целом картину это не меняет.

Не скажу точно на счёт GPG, но это обычная ситуация для разных методов асимметричного шифрования - скорости шифрования и дешифрования, подписи и валидации различаются. Причём как раз таки в разы.

Так проблема в пароле выходит. Твой тест вообще ни о чем не говорит. Либо поменяй вопрос и, соответственно, запрос в гугле, либо страдай же.

Измерьте зависимость времени от размера данных. Наверняка дело не в дешифровании как таковом, а в накладных расходах на IPC для безопасной расшифровки закрытого ключа.

Наверняка дело не в дешифровании как таковом, а в накладных расходах на IPC для безопасной расшифровки закрытого ключа.

Да, похоже что именно в этом и дело. Вопрос тут один - можно ли каким-то образом ускорить всё это? Добавление ресурсов (проц/память) не влияет.

Сам алгоритм RSA не предусматривает шифрование приватного ключа паролем - скорей всего GnuPG шифрует приватник на какой-то сардельке из SHA/AES и тому подобное.

Как вариант - сам реализуй шифрование приватника, а GnuPG скармливай уже его в чистом виде.

Еще проблема в том что gnupg-agent не параллелится. То есть всегда используется только одно ядро, дешифровка происходит в один поток, всё остальное ждет в очереди.

https://dev.gnupg.org/T2813 и https://answers.launchpad.net/duplicity/ question/296122

может в настройках gpg где то есть кэширование пароля?

Это всё добавлено, опции

--max-cache-ttl 34560000 --default-cache-ttl 34560000

но это тоже не решает проблему.

Насколько я помню в GnuPGP используется параноидальный механизм работы с зашифрованым приватным ключем. Тоесть они его нигде не хранять после расшифровки, если нужен ключ на какойто итерации то его расшифровывают - используют, и тутже затирают буфер где он хранился. Когда ключ нужен на второй итерации - процедура повторяется ...

Такчто есть смысл задуматся шифровать ключ отдельно (темже openssl) а gnupgp уже давать не зашифрованный приватный ключ.

Скорее всего это так, однако данный вариант не годится по скольку в таком случае в системе придется хранить приватный ключ в незашифрованном виде, а это теряет весь смысл при работе - то есть в случае взлома злодей получает в т.ч. и приватный ключ которым может расшифровать все данные.

На текущем этапе удалось запустить несколько инстансев gpg-agent (каждый в своей директории). Это позволяет хоть как-то паралелить процесс дешифровки, хотя и является лютым костылем (но что поделать если gpg сам не умеет паралелиться).

Это не проблема

Это дизайн. man key stretching, scrypt, kbpdf.

Да, теперь стало ясно откуда такие задержки.