Google 抗量子 HTTPS

Source: Slashdot

背景

一位匿名读者引用了 Ars Technica 的报道：Google 周五公布了其 Chrome 浏览器的计划，旨在在不破坏互联网的前提下，使 HTTPS 证书能够抵御量子计算机攻击。这个目标相当艰巨。要透明发布 TLS 证书所需的抗量子密码学数据大约是当前经典密码材料的 40 倍。如今的 X.509 证书大小约为 64 字节，包含六个椭圆曲线签名和两个 EC 公钥。这些材料可以通过量子版 Shor 算法被破解。包含等效抗量子密码材料的证书大约为 2.5 千字节。所有这些数据都必须在浏览器连接到站点时传输。

Merkle 树证书

为了解决这一瓶颈，企业正转向 Merkle 树，这是一种利用密码散列和其他数学方法，在公钥基础设施中使用极少的材料即可验证大量信息内容的数据结构。Google Chrome 安全网络团队成员周五写道，Merkle 树证书“用紧凑的 Merkle 树证明取代了传统 PKI 中沉重、串行的签名链”。在这种模型中，证书颁发机构（CA）签署一个代表可能数百万证书的 Tree Head，而发送给浏览器的“证书”仅仅是该树中包含性的轻量级证明。

抗量子算法

Google 还在添加来自抗量子算法的密码材料，例如 ML‑DSA（PDF）。只有当攻击者同时破解经典加密和后量子加密时，才可能伪造。该新机制是 Google 所称的抗量子根存储的一部分，将补充公司在 2022 年建立的 Chrome 根存储。Merkle 树证书（MTC）使用 Merkle 树提供抗量子保证，表明证书已被发布，而无需添加大部分冗长的密钥和散列。通过其他技术降低数据大小，MTC 的长度将大致保持在目前的 64 字节左右。新系统已经在 Chrome 中实现。