Содержание
У Google появился план, как подготовить Chrome и экосистему HTTPS-сертификатов к эпохе квантовых компьютеров. Идея простая: добавить постквантовую криптографию, но не раздувать сертификаты так, чтобы «сломать» рукопожатие TLS на слабых устройствах и в корпоративных сетях.
Ключевой риск тут не абстрактный. Если злоумышленник научится подделывать сертификаты, он сможет подсовывать браузеру «легитимный» замок и незаметно перехватывать трафик.
Квантовая угроза бьёт по подписям и логам прозрачности
Сегодня доверие к HTTPS держится на цифровых подписях и инфраструктуре публичных журналов прозрачности сертификатов (certificate transparency logs). Это append-only журналы: туда добавляют записи, а владельцы доменов могут быстро проверить, не выпустил ли кто-то «левый» сертификат на их имя.
Исторический пример, почему это важно: в 2011 году взлом DigiNotar привёл к выпуску 500 поддельных сертификатов. Их использовали для слежки за веб-пользователями.
Проблема квантовой эры в том, что при достаточной мощности квантовых компьютеров алгоритм Шора теоретически сможет ломать классические схемы. В контексте сертификатов это означает две вещи: можно подделывать цифровые подписи и можно атаковать ключи, которыми подписывают записи в журналах. В результате браузер или ОС рискуют принять сертификат, который на самом деле никто не выпускал.
Что Google меняет в Chrome: постквантовые алгоритмы и Merkle Tree Certificates
Google собирается сочетать классическую криптографию с постквантовой, используя алгоритмы вроде ML-DSA. Логика «двух замков» снижает риск: подделка пройдёт только если атакующий взломает и классическую, и квантово-устойчивую часть одновременно.
Но у постквантовых схем есть неприятная цена — размер данных. Обычная цепочка сертификатов X.509 занимает примерно 4 КБ. Постквантовые данные могут увеличить объём примерно в 40 раз. Это грозит более медленными TLS-handshake и проблемами на устройствах за фаерволами и под контролем endpoint-защиты.
Инженер Cloudflare Бас Вестербаан сформулировал это жёстко: «The bigger you make the certificate, the slower the handshake and the more people you leave behind». По-русски смысл такой: чем больше сертификат, тем медленнее рукопожатие, и тем больше пользователей «отвалится».
Чтобы не утонуть в килобайтах, Google и партнёры продвигают Merkle Tree Certificates (MTCs). В этой схеме центры сертификации подписывают один «Tree Head», а браузер получает компактное доказательство включения сертификата в дерево. Проверка остаётся прозрачной, но по сети уходит меньше данных.
Цифры выглядят так: вместо раздувшихся цепочек передача сокращается примерно до 700 байт. Это уже похоже на компромисс, который не убивает производительность.
Стандарты и пилоты: Chrome уже внедрил MTC, Cloudflare тестирует 1000 сертификатов
Chrome уже реализовал поддержку MTCs. Со стороны инфраструктуры тоже пошло движение: Cloudflare тестирует около 1 000 сертификатов, чтобы оценить производительность и практические эффекты на реальном трафике.
Дальше журналы и распределённый реестр должны перейти под управление самих центров сертификации. Параллельно IETF создала рабочую группу PKI, Logs, and Tree Signatures, чтобы согласовать стандарты для этой части PKI.
Позиция Google звучит прямо: «We view the adoption of MTCs and a quantum-resistant root store as a critical opportunity to ensure the robustness of the foundation of today’s ecosystem». То есть компания считает MTC и квантово-устойчивое корневое хранилище ключевыми для прочности всей основы веба.
Технические детали Google описала в заметке на Security Google Blog.
