Поддержка сертификатов на основе деревьев Меркла (MTC) уже реализована в Chrome. Вскоре она появится повсеместно, защищая TLS от квантовых угроз. — arstechnica.com
В пятницу Google представила свой план по защите сертификатов HTTPS в браузере Chrome от атак квантовых компьютеров без нарушения работы Интернета.
Задача весьма нетривиальна. Криптографические данные, устойчивые к квантовым атакам, необходимые для прозрачной публикации TLS-сертификатов, примерно в 40 раз больше, чем используемый сегодня классический криптографический материал. Современные сертификаты X.509 имеют размер около 64 байт и содержат шесть подписей эллиптической кривой и два открытых ключа EC. Этот материал может быть взломан с помощью алгоритма Шора, использующего квантовые вычисления. Сертификаты, содержащие эквивалентный квантово-устойчивый криптографический материал, занимают около 2,5 килобайт. Все эти данные должны передаваться, когда браузер подключается к сайту.
Чем больше, тем медленнее
«Чем больше вы делаете сертификат, тем медленнее происходит рукопожатие, и тем больше людей вы оставляете позади», — сказал Бас Вестербан, ведущий инженер-исследователь в Cloudflare, которая сотрудничает с Google в этом переходе. «Наша проблема в том, что мы не хотим оставлять людей позади в этом переходе». В беседе с Ars он отметил, что люди, вероятно, отключат новое шифрование, если оно замедлит их просмотр. Он добавил, что значительное увеличение размера также может ухудшить работу «промежуточных устройств» (middle boxes), расположенных между браузерами и конечным сайтом.
Чтобы обойти это узкое место, компании обращаются к деревьям Меркла — структуре данных, которая использует криптографические хеши и другую математику для проверки содержимого больших объемов информации с использованием небольшой доли материала, применяемого в более традиционных процессах проверки в инфраструктуре открытых ключей.
Сертификаты на основе деревьев Меркла «заменяют громоздкую, сериализованную цепочку подписей, используемую в традиционной PKI, компактными доказательствами на основе деревьев Меркла», — написали в пятницу участники команды Google Chrome Secure Web and Networking Team в своем блоге. «В этой модели Центр сертификации (CA) подписывает единый „Корень дерева“ (Tree Head), представляющий потенциально миллионы сертификатов, а „сертификат“, отправляемый в браузер, — это всего лишь легковесное доказательство включения в это дерево».
,
Google и другие разработчики браузеров требуют, чтобы все TLS-сертификаты публиковались в общедоступных журналах прозрачности (transparency logs), которые представляют собой распределенные реестры с возможностью только добавления записей. Владельцы веб-сайтов могут затем проверять журналы в режиме реального времени, чтобы убедиться, что для используемых ими доменов не были выпущены поддельные сертификаты. Программы прозрачности были внедрены в ответ на взлом DigiNotar в Нидерландах в 2011 году, который позволил выпустить 500 поддельных сертификатов для Google и других веб-сайтов, некоторые из которых использовались для шпионажа за веб-пользователями в Иране.
Как только алгоритм Шора станет жизнеспособным, его можно будет использовать для подделки классических криптографических подписей и взлома классических открытых ключей шифрования в журналах сертификатов. В конечном итоге злоумышленник сможет подделать подписанные временные метки сертификатов, используемые для подтверждения браузеру или операционной системе того, что сертификат был зарегистрирован, хотя это не так.
Чтобы исключить такую возможность, Google добавляет криптографический материал из квантово-устойчивых алгоритмов, таких как ML-DSA. Это дополнение сделает подделки возможными только в том случае, если злоумышленник взломает как классическое, так и постквантовое шифрование. Новый режим является частью того, что Google называет хранилищем корневых сертификатов, устойчивых к квантовым атакам (quantum-resistant root store), которое дополнит Chrome Root Store, созданный компанией в 2022 году.
MTC (Merkle Tree Certificates) используют деревья Меркла для обеспечения квантово-устойчивых гарантий того, что сертификат был опубликован, без необходимости добавлять большую часть длинных ключей и хешей. Используя другие методы для уменьшения размеров данных, MTC будут иметь примерно ту же длину в 64 байта, что и сейчас, сказал Вестербан.
Новая система уже внедрена в Chrome. На данный момент Cloudflare регистрирует около 1000 TLS-сертификатов для тестирования эффективности MTC. Пока что Cloudflare генерирует распределенный реестр. В планах — чтобы в конечном итоге эту роль взяли на себя CA. Стандартизирующий орган IETF недавно сформировал рабочую группу под названием PKI, Logs, And Tree Signatures, которая координирует свои действия с другими ключевыми участниками для разработки долгосрочного решения.
«Мы рассматриваем внедрение MTC и хранилища корневых сертификатов, устойчивого к квантовым атакам, как критическую возможность обеспечить надежность фундамента сегодняшней экосистемы», — говорится в пятничном сообщении Google в блоге. «Проектируя с учетом специфических требований современного, гибкого Интернета, мы можем ускорить внедрение постквантовой устойчивости для всех пользователей Всемирной паутины».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Goodin