谷歌於近日公布了其Chrome瀏覽器保護HTTPS證書免受量子電腦攻擊的方案,同時確保不會對現有網際網路體系造成破壞。
這一目標極具挑戰性。透明發布TLS證書所需的抗量子加密數據,體積約為當前傳統加密材料的40倍。目前常用的X.509證書鏈包含六個橢圓曲線簽名和兩個EC公鑰,每個僅64字節,但這些數據可被量子計算支持的Shor算法破解。完整證書鏈約為4KB,且在瀏覽器訪問網站時必須全部傳輸。
"證書越大,握手速度就越慢,也會讓更多用戶在這次過渡中掉隊。"與谷歌合作推進此項過渡的Cloudflare首席研究工程師Bas Westerbaan表示,"我們的目標是不讓任何人在這次過渡中落下。"他在接受採訪時指出,如果新加密方式拖慢了瀏覽速度,用戶很可能會主動將其關閉。他還補充說,數據體積的大幅增加還可能損害位於瀏覽器與目標網站之間的"中間設備"的正常運行。
為突破這一瓶頸,各公司轉向了Merkle樹這一數據結構。Merkle樹利用加密哈希及其他數學方法,以極少量數據對大量資訊進行驗證,相比公鑰基礎設施中的傳統驗證流程效率大幅提升。
谷歌Chrome安全網路團隊成員表示,Merkle樹證書(MTC)"用緊湊的Merkle樹證明替代了傳統PKI中繁重的序列化簽名鏈。在這一模型中,證書頒發機構(CA)只需對單個'樹頭'進行簽名,該樹頭可代表數百萬張證書,而發送給瀏覽器的'證書'僅是一個輕量級的樹包含證明。"
谷歌及其他瀏覽器廠商要求所有TLS證書必須發布在公開的透明日誌中,這些日誌是只可追加的分布式賬本。網站所有者可實時查閱日誌,確保其使用的域名未被頒發流氓證書。透明計劃的實施源於2011年荷蘭DigiNotar遭受黑客攻擊事件——該事件導致500張偽造證書被簽發,涉及谷歌等多家網站,其中部分證書被用於監視伊朗網路用戶。
一旦Shor算法具備實用能力,便可偽造傳統加密簽名、破解證書日誌的公鑰。最終,攻擊者可偽造簽名證書時間戳,欺騙瀏覽器或作業系統,使其誤以為某證書已完成註冊。
為消除這一隱患,谷歌正在引入ML-DSA等抗量子算法的加密材料。該措施要求攻擊者同時破解傳統加密和後量子加密,才能成功偽造證書。這一新機制是谷歌"抗量子根證書儲存庫"的重要組成部分,將與谷歌於2022年建立的Chrome根證書儲存庫協同運作。
MTC藉助Merkle樹提供抗量子保障,無需附加大量冗長的密鑰和哈希數據,在經過其他數據壓縮技術優化後,整體大小仍將維持在約4KB。
目前,該系統已在Chrome中完成部署。Cloudflare正在註冊約1000個TLS證書,以測試MTC的實際效果,並暫時負責生成分布式賬本,未來計劃由各CA機構承擔這一角色。網際網路工程任務組(IETF)近期成立了名為"PKI、日誌與樹簽名"的工作組,正與各關鍵參與方協作,共同制定長期解決方案。
谷歌在近日的部落格文章中表示:"我們將MTC的採用與抗量子根證書儲存庫視為確保當今生態系統基礎穩健性的關鍵機遇。通過針對現代敏捷網際網路的特定需求進行設計,我們可以加速為所有網路用戶普及後量子安全防護。"
Q&A
Q1:Merkle樹證書是什麼?它解決了什麼問題?
A:Merkle樹證書(MTC)是一種新型證書機制,用緊湊的Merkle樹證明替代傳統PKI中龐大的序列化簽名鏈。傳統抗量子加密數據體積約為現有方案的40倍,會大幅拖慢網頁加載速度。MTC通過數學哈希結構,在不顯著增加數據量的前提下實現抗量子驗證,使證書總大小仍維持在約4KB。
Q2:Shor算法對現有HTTPS證書有什麼威脅?
A:Shor算法是一種可在量子電腦上運行的算法,能夠破解目前HTTPS證書所依賴的橢圓曲線簽名和公鑰加密體系。一旦該算法具備實用能力,攻擊者可偽造證書籤名和時間戳,欺騙瀏覽器認為未註冊的證書是合法的,從而實施中間人攻擊,威脅用戶網路安全。
Q3:谷歌的抗量子根證書儲存庫目前進展如何?
A:目前該系統已在Chrome瀏覽器中完成初步部署。Cloudflare正註冊約1000個TLS證書進行測試,並暫時負責生成分布式賬本,未來將由各證書頒發機構(CA)接管。IETF也已成立專項工作組,與各方協作推進長期標準化方案的制定。
