维度网讯，Let's Encrypt正通过默克尔树证书（Merkle Tree Certificates, MTCs）构建后量子安全的Web PKI，目标是在2026年底搭建可签发MTCs的暂存环境，并于2027年实现生产就绪环境。

“在过去几年中，关于后量子密码学的讨论多集中在加密方面。原因很简单：今天记录加密流量的攻击者，未来一旦量子计算机能够破解底层数学，就可能解密这些数据，”Let's Encrypt软件工程师Andrew Gabbitas解释道。

支持MTCs需要对Let's Encrypt的整个基础设施进行改造，包括证书签发、自动证书管理环境（ACME）、吊销系统、运营工具以及MTCs所集成的透明性基础设施。该机构正在参与互联网工程任务组（IETF）的PLANTS和ACME工作组，随标准发展协调推进。

项目正跟踪X.509和TLS中ML-DSA签名的标准工作，以及Go标准库中ML-DSA支持等生态系统变化。Web PKI向后量子安全的过渡取决于浏览器、库和ACME客户端是否采纳，不论最终结果是MTCs还是ML-DSA签名的X.509证书。

自2022年以来，美国国家安全局（NSA）的CNSA 2.0套件已指示国家安全系统按2030年至2035年时间表向后量子算法迁移。美国国家标准与技术研究院（NIST）的草案指南将废除RSA-2048和P-256在2030年后使用，并于2035年后禁止。欧盟目标为2030年覆盖高风险系统，2035年广泛迁移。谷歌在2026年宣布计划2029年前完成服务迁移，Cloudflare也做出类似承诺。Go 1.27已将NIST标准化的ML-DSA签名方案加入标准库。后量子签名正进入主流基础设施。

身份认证是TLS中验证服务器身份的部分。要攻破它，量子计算机需要实时伪造签名。这一威胁取决于是否存在密码学相关的量子计算机（CRQC）。Web PKI生态系统不应推迟后量子身份认证，因为拥有长期密钥的实体（包括根证书颁发机构、代码签名密钥和身份系统）仍然是高价值目标。由于新技术需要数年时间才能广泛采用，部署工作必须在密码学相关量子计算机问世之前开始。

Web PKI的规模使得后量子签名部署困难。一次典型TLS握手携带五个签名和两个公钥，若用ML-DSA替换，单次握手将超过10 KB。MTC证书颁发机构批量签发证书，使用单个签名覆盖整个批次，而不是逐个签署证书。浏览器在TLS握手之外保持“地标”的最新状态。MTC握手中的认证路径包含一个签名、一个公钥和一个包含证明，即使使用后量子算法也比传统TLS握手更小。对于使用过时地标的客户端，可采用独立模式，在必要时使用稍大的握手。

MTCs将证书透明性集成到签发过程中。在MTCs下，证书仅存在于默克尔树中。自2019年以来，Let's Encrypt一直运营基于默克尔树的证书透明性日志。Cloudflare和Chrome正在互联网实时流量上测试MTCs，IETF的PLANTS工作组正在制定标准，Chrome已将MTCs确定为公共Web后量子证书的首选方法。

过渡需要时间：标准仍在最终确定，根程序正在定义要求，浏览器、库和ACME客户端需要加入支持。ACME客户端开发者和基于ACME的证书管道运营商应关注IETF PLANTS工作组的工作以及邮件列表上的讨论。对于更广泛的互联网社区，后量子加密仍是更紧迫的关切。不使用后量子密钥交换的TLS流量今天可以被记录，未来一旦密码学相关量子计算机可用，就能被解密。“如果你运营服务器，请确保它们支持混合后量子密钥交换（X25519MLKEM768）。主流浏览器和操作系统已经支持，在服务器端启用它是今年你能做的高杠杆率事项之一，”Gabbitas总结道。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com