Keeping the Internet fast and secure: introducing Merkle Tree Certificates
7 months ago
- #web-security
- #quantum-computing
- #cryptography
- 世界各国正竞相建造第一台实用量子计算机,这将威胁现有的互联网加密体系。
- Cloudflare正在推动互联网向抗量子(PQ)密码学迁移,其50%的流量已能抵御'现在截获,将来解密'的攻击威胁。
- 量子计算机也可能破解TLS证书,不过用于量子安全认证的PQ算法已经存在,但其应用需要对WebPKI体系进行重大改造。
- ML-DSA-44等PQ算法的数据量远超现有算法,会使TLS握手开销增加多达20倍,导致性能下降。
- 默克尔树证书(MTCs)提出重新设计WebPKI体系,减少TLS握手过程中的签名和公钥数量,在不损失性能的前提下实现PQ认证。
- Cloudflare与Chrome安全团队计划开展MTCs实验,测试其可行性、性能影响及客户端更新频率。
- MTCs利用默克尔树批量处理证书,每次握手只需验证一个签名、一个公钥和一份包含证明即可完成认证。
- 实验将使用引导证书模拟默克尔树CA的功能,在无需立即变更信任体系的前提下确保安全性。
- 该项目旨在通过默认配置降低PQ证书的部署成本,确保在'量子计算时代(Q-day)'来临前实现平稳过渡。