Google 通过将 2.5kB 数据压缩至 64 字节空间，实现 HTTPS 的量子防护

Source: Ars Technica

背景

Google 和其他浏览器厂商要求所有 TLS 证书都必须发布在公共透明度日志中，这些日志是只能追加的分布式账本。网站所有者随后可以实时检查这些日志，以确保没有为他们使用的域名签发恶意证书。透明度计划是在 2011 年荷兰 DigiNotar 被黑（相关报道）后实施的，当时黑客伪造了 500 张针对 Google 等网站的证书，其中一些被用于在伊朗监视网页用户。

量子威胁

如果可行，Shor 算法可以用来伪造经典加密签名并破解证书日志的公钥。攻击者还可能伪造用于向浏览器或操作系统证明证书已注册的 签名证书时间戳，即使实际并未注册。

Google 的抗量子方案

为降低此风险，Google 正在加入来自抗量子算法（如 ML‑DSA）的密码材料。只有当攻击者同时破解经典加密和后量子加密时，才能进行伪造。该新机制是 Google 所称的 抗量子根存储（quantum‑resistant root store）的一部分，将补充公司在 2022 年建立的 Chrome 根存储（相关博客）。

Merkle 树证书 (MTC)

MTC 使用 Merkle 树提供抗量子保证，证明证书已发布，而无需添加大多数冗长的密钥和哈希。通过采用降低数据体积的技术，MTC 的长度仍大约保持在目前的 64 字节左右，Westerbaan 如是说。

实施与测试

新系统已经在 Chrome 中实现。暂时由 Cloudflare 为大约 1,000 张 TLS 证书进行注册，以测试 MTC 的实际效果。目前，Cloudflare 正在生成分布式账本，计划未来由证书颁发机构接管该角色。

互联网工程任务组（IETF）最近成立了一个工作组 PKI, Logs, And Tree Signatures（PLANTS），正在与其他关键参与者协作，制定长期解决方案。

前景

“我们将 MTC 的采用以及抗量子根存储视为确保当今生态系统基础稳健性的关键机遇，”Google 本周五的博客文章如此写道。 “通过针对现代、敏捷的互联网的特定需求进行设计，我们可以加速所有网络用户的后量子韧性采用。”