Você deve ler o manual , isso explica muito. Eu vou comentar principalmente.
A chave pública no RSA consiste em 2 primos grandes cuidadosamente escolhidos que são multiplicados. Para atacar o RSA, o atacante precisa encontrar esses fatores.
Então, sim, quando você publica sua chave pública, o invasor sabe qual número faturar. Mas, na verdade, as chaves públicas devem ser públicas e seguras para publicar, assumindo que a matemática em torno da fatoração de números grandes permanece difícil.
O RSA no PGP não é usado para criptografar dados diretamente. Ele criptografa uma chave simétrica. Aqui está a outra oportunidade para o atacante, mas a chave simétrica é, obviamente, um número aleatório para cada mensagem no PGP. Dessa forma, você não precisa criptografar dados várias vezes para cada destinatário (multiplicaria a quantidade de dados), mas criptografa a chave simétrica para cada destinatário.
A descriptografia de arquivos pequenos e grandes não é relevante no lado RSA, por causa da cifra simétrica usada lá.
Uma cifra é strong quando a melhor abordagem para decifrá-la diretamente é a força bruta. Assumindo que seja a melhor abordagem que o atacante tem, a duração do bit da chave torna o problema exponencialmente mais difícil.
Não sei por que é o máximo de 4096 bits, para ser honesto, mas posso imaginar que você precisa de vários algoritmos que precisam ser comprovados seguros, funcionando adequadamente e serem eficientes / úteis para o usuário.