Let's Encrypt 致力于建立一个后量子安全的 Web PKI。我们计划采用 Merkle Tree Certificates（“MTCs”），这种新方法在不牺牲使 TLS 普及的速度和可靠性的基础上，为网络添加后量子身份验证。本文将讨论这些计划及我们为何认为 MTCs 是通往后量子未来的关键。\n\n日益紧迫的问题\n在过去几年中，关于后量子密码学的讨论主要集中在加密上。理由是显而易见的：今天记录的加密流量，在量子计算机能够破解基础数学的几年后，攻击者可能会解密它。身份验证，即 TLS 中指示服务器身份的部分，则问题较少紧迫。量子计算机需要实时伪造签名，而非事后处理，因此身份验证的威胁取决于是否存在加密相关量子计算机（CRQC）。这种安全感已经在逐渐减弱。在美国，自 2022 年以来，NSA 的 CNSA 2.0 套件已将国家安全系统引导向2030-2035年间的后量子算法，NIST 的过渡指导草案将在 2030 年后弃用 RSA-2048 和 P-256，并在 2035 年后不再允许使用。欧盟的路线图则瞄准在 2030 年底前高风险系统的处理，以及到 2035 年的全面迁移。这些强制措施并不直接约束公共 Web PKI，但它们为依赖的供应商、库和标准机构设定了到本世纪末的时间表，后者已经在为此努力。今年，时间表进一步缩短。谷歌宣布将在 2029 年前迁移其服务，理由是对 CRQC 到来的潜在估计越来越紧迫。Cloudflare 也作出了类似的承诺。此外，Go 1.27 将 NIST 标准化的后量子签名方案 ML-DSA 添加到标准库，标志着后量子签名正逐步成为实用基础设施。\n\n后量子身份验证已不再是 Web PKI 生态系统应该推迟的问题。长期存在的密钥（根证书颁发机构、代码签名密钥、身份系统）尤为有价值，且新技术通常需要数年时间才能广泛采用，因此工作必须尽早开始。\n\nWeb PKI 的独特情况\nWeb PKI 是部署后量子签名最棘手的地方之一。原因在于其规模。ML-DSA-44 是 NIST 标准化的较小的后量子签名方案之一，其签名长度约为 2420 字节。当前 Web PKI 中使用的算法要小得多。RSA-2048 签名为 256 字节，ECDSA-P256 签名为 64 字节。公钥也更大：ML-DSA-44 为 1312 字节，RSA-2048 为 256 字节，ECDSA-P256 为 64 字节。当前典型的 Web PKI 握手传递五个签名和两个公钥。用 ML-DSA 等效项替换它们会将单个 TLS 握手推高到超过 10 千字节。Cloudflare 的研究显示，在这种规模下，真实网络中有意义的一部分 TLS 连接会失败，其余则变得更慢。更大的握手会影响每个 TLS 连接，而不仅仅是会失败的那些。这意味着带宽受限、连接速度变慢，以及用户体验变差，所有这些换来的是对尚未成为现实的威胁的安全保护。这是一个高昂的成本，而默认设置实际上是推进网络安全的关键。\n\nMerkle Tree Certificates\n过去一年中出现了一种名为 Merkle Tree Certificates（“MTCs”）的不同设计，我们相信这是后量子 Web PKI 的一条强有力的前进道路。MTC 证书颁发机构不是逐一发放证书并对每个证书进行单独签名，而是批量发放证书，由单个签名覆盖整个批次。浏览器在 TLS 握手之外单独跟进这些批量签名（称为“地标”）。在常见情况下，MTC 握手中的整个身份验证路径为一个签名、一个公钥和一个包含证明。即使 MTC 使用后量子算法，但这比今天的 Web PKI 握手要小。另一种情况是“独立”形式。当客户端的地标过期时，会使用稍大的握手作为后备。MTC 不仅仅在大小优化方面有更多内容。由于每个证书都是已发布的 Merkle 树的一部分，因此透明度成为了发行本身的特性。当前的证书透明度生态系统是在事后增加的：证书由 CA 发行，然后单独记录，额外的签名附加在 TLS 握手中以证明该日志记录。使用 MTC 时，证书不能存在于 Merkle 树之外。证书透明度是内建的。这对我们来说并不是全新的领域。自 2019 年以来，Let's Encrypt 就一直运营证书透明度日志。这些日志是仅附加的 Merkle 树，这是 MTC 支撑的核心数据结构。