谷歌近日宣布,將在Chrome瀏覽器中啟動一項新計劃,旨在提升HTTPS證書的安全性,以抵御未來量子計算機可能帶來的安全威脅。這一舉措標志著互聯網安全領域的重要進展,特別是在應對量子計算對傳統加密技術挑戰的背景下。
Chrome安全團隊表示,他們不會將包含后量子密碼學的傳統X.509證書直接納入Chrome根存儲中,而是選擇與行業伙伴合作,開發基于默克爾樹證書(MTCs)的新型HTTPS證書。這項技術目前正在PLANTS工作組中進行完善,旨在為互聯網提供更高效的安全解決方案。
默克爾樹證書被視為下一代公鑰基礎設施(PKI)的關鍵組成部分。Cloudflare解釋稱,MTCs的設計目標是減少TLS握手過程中所需的公鑰和簽名數量,從而提升效率。在這種架構下,證書頒發機構只需簽署一個“樹頭”,即可代表數百萬個證書,而瀏覽器接收到的則是輕量級的證明,而非完整的證書鏈。
谷歌進一步說明,MTCs的優勢在于它能夠促進后量子算法的廣泛應用,同時避免傳統X.509證書鏈帶來的額外帶寬負擔。這種方法將加密算法的安全強度與傳輸數據的大小分離,確保在采用更強安全措施的同時,不會影響網絡性能。
“通過將TLS握手中的認證數據壓縮到最低限度,MTCs旨在讓后量子網絡與當前互聯網一樣快速和無縫,”谷歌表示,“即使我們采用更強大的安全措施,也能保持高性能。”
目前,谷歌已經在真實互聯網流量中對MTCs進行了試驗,并制定了詳細的部署計劃。根據計劃,到2027年第三季度,MTCs的部署將分三個階段逐步推進:第一階段正在進行中,谷歌與Cloudflare合作評估MTCs在TLS連接中的性能和安全性;第二階段計劃于2027年第一季度啟動,邀請符合條件的證書透明度(CT)日志運營商參與公共MTCs的初始引導;第三階段將于2027年第三季度完成,屆時谷歌將更新Chrome抗量子根存儲(CQRS)的要求,并正式支持僅使用MTCs的根程序。
谷歌強調,MTCs和抗量子根存儲的開發是確保當前互聯網生態系統穩健性的重要機會。通過針對現代互聯網的特定需求進行設計,這一技術有望加速后量子彈性的普及,為全球網絡用戶提供更安全的環境。
