Репортаж от Wedoany，Let's Encrypt создает постквантовую безопасную Web PKI с помощью сертификатов на основе деревьев Меркла (Merkle Tree Certificates, MTCs). Цель — развернуть тестовую среду для выпуска MTC к концу 2026 года и обеспечить готовность к промышленной эксплуатации к 2027 году.

«В последние годы обсуждение постквантовой криптографии в основном касалось шифрования. Причина проста: злоумышленники, записывающие зашифрованный трафик сегодня, могут расшифровать его в будущем, когда квантовые компьютеры смогут взломать лежащую в основе математику», — поясняет Эндрю Габбитас, инженер-программист Let's Encrypt.

Поддержка MTC требует модернизации всей инфраструктуры Let's Encrypt, включая выпуск сертификатов, среду автоматического управления сертификатами (ACME), систему отзыва, эксплуатационные инструменты и инфраструктуру прозрачности, интегрированную с MTC. Организация участвует в рабочих группах PLANTS и ACME Интернет-инженерной целевой группы (IETF), координируя свои действия с развитием стандартов.

Проект отслеживает стандартизацию подписей ML-DSA в X.509 и TLS, а также изменения в экосистеме, такие как поддержка ML-DSA в стандартной библиотеке Go. Переход Web PKI на постквантовую безопасность зависит от внедрения браузерами, библиотеками и клиентами ACME, независимо от того, будут ли это MTC или сертификаты X.509 с подписями ML-DSA.

Начиная с 2022 года, набор CNSA 2.0 Агентства национальной безопасности США (NSA) предписывает переход национальных систем безопасности на постквантовые алгоритмы в период с 2030 по 2035 год. Проект руководства Национального института стандартов и технологий США (NIST) запрещает использование RSA-2048 и P-256 после 2030 года и полностью отменяет их после 2035 года. ЕС ставит цель охватить системы с высоким уровнем риска к 2030 году и провести широкомасштабный переход к 2035 году. Google в 2026 году объявил о планах завершить миграцию своих сервисов к 2029 году, аналогичные обязательства взяла на себя Cloudflare. Go 1.27 включил стандартизированный NIST алгоритм подписи ML-DSA в свою стандартную библиотеку. Постквантовые подписи входят в основную инфраструктуру.

Аутентификация — это часть TLS, которая проверяет личность сервера. Для ее взлома квантовому компьютеру потребуется подделать подпись в реальном времени. Эта угроза зависит от существования криптографически релевантного квантового компьютера (CRQC). Экосистема Web PKI не должна откладывать внедрение постквантовой аутентификации, поскольку объекты с долгосрочными ключами (включая корневые центры сертификации, ключи подписи кода и системы идентификации) остаются целями высокой ценности. Поскольку внедрение новых технологий занимает годы, развертывание должно начаться до появления криптографически релевантного квантового компьютера.

Масштаб Web PKI затрудняет развертывание постквантовых подписей. Типичное рукопожатие TLS несет пять подписей и два открытых ключа; замена на ML-DSA увеличит размер одного рукопожатия до более чем 10 КБ. Центры сертификации MTC выпускают сертификаты пакетами, используя одну подпись для всего пакета, а не подписывая каждый сертификат по отдельности. Браузеры поддерживают актуальное состояние «ориентиров» вне рукопожатия TLS. Путь аутентификации в рукопожатии MTC содержит одну подпись, один открытый ключ и доказательство включения, что даже с постквантовыми алгоритмами делает его меньше, чем традиционное рукопожатие TLS. Для клиентов, использующих устаревшие ориентиры, доступен автономный режим, использующий несколько большее рукопожатие при необходимости.

MTC интегрируют прозрачность сертификатов в процесс выпуска. В рамках MTC сертификаты существуют только в дереве Меркла. С 2019 года Let's Encrypt управляет журналом прозрачности сертификатов на основе дерева Меркла. Cloudflare и Chrome тестируют MTC на реальном интернет-трафике, рабочая группа PLANTS IETF разрабатывает стандарты, а Chrome определил MTC как предпочтительный метод для постквантовых сертификатов в общедоступном вебе.

Переход требует времени: стандарты еще дорабатываются, корневые программы определяют требования, браузеры, библиотеки и клиенты ACME должны добавить поддержку. Разработчикам клиентов ACME и операторам конвейеров сертификатов на основе ACME следует следить за работой рабочей группы PLANTS IETF и обсуждениями в списках рассылки. Для более широкого интернет-сообщества постквантовое шифрование остается более насущной проблемой. Трафик TLS, не использующий постквантовый обмен ключами, может быть записан сегодня и расшифрован в будущем, когда станет доступен криптографически релевантный квантовый компьютер. «Если вы управляете серверами, убедитесь, что они поддерживают гибридный постквантовый обмен ключами (X25519MLKEM768). Основные браузеры и операционные системы уже поддерживают его, и включение на стороне сервера — одна из самых эффективных мер, которые вы можете предпринять в этом году», — резюмирует Габбитас.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com