Pro šifrování komunikace se obvykle nepoužívá asymetrická kryptografie, protože je pomalá. Používá se podstatně rychlejší symetrická kryptografie s tím, že se na začátku vytvoří náhodný klíč, a pouze ten se vymění pomocí asymetrické kryptografie.
Heslem se obvykle označuje něco, co si má uživatel pamatovat. Pětisetznakové si nebude pamatovat nikdo, takže to spíš bude klíč, který bude někde uložen - takže bude záležet spíš na tom, jak bezpečné bude to úložiště. Navíc je dost možné, že to pětisetznakové heslo se ani nepoužije celé. Útoku hrubou silou (hádáním hesel), pokud je jinak implementace správná, brání už hesla s nízkou desítkou znaků, takže pětisetznakové heslo nesvědčí o super zabezpečení, ale o neznalosti autora a tím pádem nejspíš o slabém až žádném zabezpečení.
Veřejné a soukromé jsou klíče, certifikát je podepsaný dokument, který ověřuje vazbu mezi veřejným klíčem a nějakými informacemi (typicky "privátní klíč příslušející k přiloženému veřejnému klíči má v držení osoba XY"). SHA-512 je hash, který se může použít pro vytvoření toho certifikátu. Pro šifrovanou komunikaci ale certifikát nepotřebujete, ten slouží pouze k tomu, abyste nemusel znát předem veřejný klíč protistrany. Např. v případě SSH komunikace nepotřebujete žádný certifikát, protože znáte rovnou veřejný klíč serveru. V případě HTTPS by bylo nepraktické, kdybyste si musel ke každému serveru bezpečnou cestou opatřovat veřejný klíč, proto se tam používají certifikáty - veřejný klíč vám pošle sám server spolu s certifikátem, a vy si podle certifikátu ověříte, že klíč patří opravdu tomu, s kým chcete komunikovat.
Certifikát tedy nijak nesouvisí s luštěním komunikace. Falešný certifikát by bylo možné použít jedině tak, že byste komunikoval s někým jiným, než s kým chcete (a s ním byste si dohodl to heslo pro symetrické šifrování - dotyčný by tedy nic neluštil, prostě by dešifroval jemu známým klíčem).
Závěr - SHA-512 je dostatečný hash, 4096 bitů je dostatečná délka RSA klíče, 500 znaků je nesmyslně dlouhé heslo, nicméně celý systém nebude zabezpečený vůbec nebo jen velmi málo, protože tam budou chyby v návrhu i v implementaci.
Počítačová bezpečnost se nedá dělat způsobem, že použijete něco silného a nevíte ani proč ani jak - v případě počítačové bezpečnosti musíte mít správný nástroj, ale také musíte velice dobře vědět, jak ho použít. Jako příklad lze uvést třeba nedávno dokončený audit TrueCryptu - prakticky nikdo nepochyboval o tom, že algoritmy používané TrueCryptem jsou bezpečné. Bez auditu kódu ale nikdo nedokázal říci, zda se používají bezpečným způsobem. Audit TrueCryptu dělali odborníci, přesto jejich výstupem bylo "jen" konstatování "těchhle pár věcí je nešikovných ale na bezpečnost by to nemělo mít přímý dopad, jinak jsme si žádného problému nevšimli". Kdyby bezpečnost záležela jenom na tom, jaké používáte nástroje, veškerý audit TrueCryptu by bylo "používá silné šifry: ano", a tím by byl audit hotov.