Ціль непроста. Криптографічні дані, стійкі до квантових атак та необхідні для прозорої публікації TLS-сертифікатів, приблизно в 40 разів більше, ніж класичний криптографічний матеріал, що використовується сьогодні. Типовий ланцюжок сертифікатів X.509, що використовується сьогодні, складається з шести еліптичних кривих підписів та двох відкритих ключів EC, кожен із яких займає всього 64 байти. Цей матеріал може бути зламаний за допомогою алгоритму Шора, який використовує квантові обчислення. Повний ланцюжок становить приблизно 4 кілобайти. Всі ці дані повинні передаватися при підключенні користувача до сайту.
"Чим більше сертифікат, тим повільніше відбувається рукостискання і тим більше людей залишаються без захисту", - сказав Бас Вестербаан, провідний інженер-дослідник Cloudflare, який співпрацює з Google у цьому процесі. "Наша проблема в тому, що ми не хочемо залишати людей без захисту в цьому переході". В інтерв'ю Ars він заявив, що люди, швидше за все, відключать нове шифрування, якщо воно уповільнить їхню роботу в браузері. Він додав, що значне збільшення розміру також може погіршити роботу проміжних вузлів, розташованих між браузерами та кінцевим сайтом.
Щоб обійти це вузьке місце, компанії звертаються до дерев Меркла — структури даних, яка використовує криптографічні хеші та інші математичні обчислення для перевірки вмісту великих обсягів інформації, використовуючи лише невелику частину матеріалу, що використовується у традиційніших процесах перевірки в інфраструктурі відкритих ключів. Cloudflare пропонує докладніший аналіз дерев Меркла тут.
Сертифікати дерев Меркла (Merkle Tree Certificates - MTC) "замінюють громіздкий, серіалізований ланцюжок підписів, що використовується в традиційній PKI, компактними перевірками дерев Меркла", - написали члени команди Google Chrome Secure Web and Networking. "У цій моделі центр сертифікації (CA) підписує один 'головний вузол дерева', що представляє потенційно мільйони сертифікатів, а 'сертифікат', що відправляється браузеру, є лише легким доказом включення в це дерево".
Google та інші виробники браузерів вимагають публікації всіх TLS-сертифікатів у загальнодоступних журналах прозорості, що є розподіленими реєстрами з можливістю додавання даних. Власники вебсайтів можуть перевіряти журнали в режимі реального часу, щоб переконатися у відсутності підроблених сертифікатів, виданих для доменів. Програми прозорості були впроваджені у відповідь на злом нідерландської компанії DigiNotar у 2011 році, що дозволило створити 500 підроблених сертифікатів для Google та інших вебсайтів, деякі з яких використовувалися для стеження за користувачами інтернету в Ірані.
Після того як алгоритм Шора став працездатним, його можна було використовувати для підробки підписів класичного шифрування та зламування відкритих ключів класичного шифрування в журналах сертифікатів. Зрештою, зловмисник міг би підробити підписані мітки часу сертифікатів, які використовуються для підтвердження браузера або операційній системі факту реєстрації сертифіката, навіть якщо це не так.
Щоб унеможливити цю можливість, Google додає криптографічний матеріал із квантово-стійких алгоритмів, таких як ML-DSA. Це доповнення дозволить здійснювати підробки тільки в тому випадку, якщо зловмиснику вдасться зламати як класичне, так і постквантове шифрування. Нова система є частиною того, що Google називає сховищем кореневих сертифікатів, стійким до квантових атак, яке доповнить сховище кореневих сертифікатів Chrome, створене компанією у 2022 році.
У MTC використовуються дерева Меркла для забезпечення стійкості до квантових атак та підтвердження публікації сертифіката без необхідності додавання більшої частини довгих ключів та хешей. Використовуючи інші методи зменшення розміру даних, MTC матимуть приблизно таку ж довжину в 4 КБ, що й зараз, сказав Вестербаан.
Нова система вже впроваджена у Chrome. На цей момент Cloudflare реєструє близько 1000 TLS сертифікатів для перевірки ефективності роботи MTC. Поки що Cloudflare генерує розподілений реєстр. Планується, що зрештою цю роль виконуватимуть центри сертифікації (CA). Нещодавно організація Internet Engineering Task Force (IETF) сформувала робочу групу під назвою PKI, Logs, Tree Signatures, яка координує свої дії з іншими ключовими гравцями для розробки довгострокового рішення.
"Ми розглядаємо впровадження MTC та сховища кореневих даних, стійкого до квантових атак, як найважливішу можливість забезпечити надійність основи сучасної екосистеми", - йдеться у повідомленні в блозі Google. "Розробляючи рішення, що відповідають специфічним вимогам сучасного, гнучкого інтернету, ми можемо прискорити використання постквантової стійкості для всіх користувачів мережі."
