语言[ 英语 ] [ 加泰罗尼亚语 ] [ 捷克语 ] [ 丹麦语 ] [ 德语 ] [ 希腊语 ] [ 西班牙语 ] [ 芬兰语 ] [ 法语 ] [ 希伯来语 ] [ 匈牙利语 ] [ 印尼语 ] [ 意大利语 ] [ 日语 ] [ 韩语 ] [ 波兰语 ] [ 巴西葡萄牙语 ] [ 俄语 ] [ 僧伽罗语 ] [ 塞尔维亚语 ] [ 瑞典语 ] [ 泰米尔语 ] [ 泰语 ] [ 土耳其语 ] [ 乌克兰语 ] [ 越南语 ] [ 简体中文 ] [ 繁体中文 ]跳过导航链接[ Lets Encrypt ][ 文档 ][ 获取帮助 ][ 博客 ]捐赠[ 成为赞助商 ][ 当前赞助商与资助者 ][ 参与进来 ][ 捐赠 ]关于我们[ Lets Encrypt ][ 常见问题解答 (FAQ) ][ 政策与法律文档库 ][ 服务状态 ][ 统计数据 ][ 联系我们 ][ 招聘信息 ][ 年度报告 ][ 互联网安全研究小组 (ISRG) ][立即捐赠][立即捐赠][博客]Lets Encrypt的后量子未来Lets Encrypt致力于打造一个后量子安全的Web PKI。计划采用的方案是Merkle树证书“MTCs”这是全新方法能在不牺牲TLS普及性所依赖的速度和可靠性的前提下为网络添加后量子认证。本文将介绍这些计划以及认为MTCs值得作为后量子未来关键技术来探索的原因。日益紧迫的问题过去几年后量子密码学讨论主要围绕加密展开。原因很简单攻击者记录如今加密流量可能在几年后当量子计算机能破解底层数学算法时对其进行解密。而TLS中用于验证服务器身份的认证环节紧迫性相对较低。因为量子计算机需实时伪造签名而非事后追溯所以认证面临的威胁取决于是否存在具有密码学意义的量子计算机CRQC。然而这种安全感正逐渐消失。在美国自2022年起美国国家安全局NSA的CNSA 2.0套件就已指导国家安全系统在2030 - 2035年期间采用后量子算法。NIST的过渡指导草案则计划在2030年后弃用RSA - 2048和P - 2562035年后禁止使用。欧盟的路线图目标是在2030年底前完成高风险系统的升级并在2035年前实现广泛迁移。这些规定虽未直接约束公共Web PKI但为其所依赖的供应商、库和标准组织设定了十年末的时间线相关工作已经在推进。今年时间线进一步提前。谷歌宣布将在2029年前迁移其服务理由是CRQC可能到来的时间估计更加紧迫。Cloudflare也紧随其后做出了类似承诺。此外Go 1.27将NIST标准化的后量子签名方案ML - DSA添加到标准库中这表明后量子签名正逐渐成为实用的基础设施。后量子认证不再是Web PKI生态系统可以推迟解决的问题。长期有效的密钥根证书颁发机构、代码签名密钥、身份系统是特别有价值的攻击目标而且新技术需要数年时间才能广泛应用因此相关工作必须尽早开展。Web PKI的独特情况Web PKI是部署后量子签名最具挑战性的场景之一原因在于签名和密钥的大小。ML - DSA - 44是较小的NIST标准化后量子签名方案之一其签名长度约为2420字节。而如今Web PKI中使用的算法签名要小得多RSA - 2048签名为256字节ECDSA - P256签名为64字节。公钥大小也有差异ML - DSA - 44的公钥为1312字节RSA - 2048为256字节ECDSA - P256为64字节。目前一次典型的Web PKI握手包含五个签名和两个公钥。若用ML - DSA替代一次TLS握手的数据量将轻松超过10千字节。Cloudflare的研究表明在这种规模下现实网络中相当一部分TLS连接会失败其余连接速度也会变慢。更大的握手数据量不仅会影响那些可能失败的TLS连接还会导致带宽受限、连接变慢给用户带来更差的体验而这一切只是为了防范尚未出现的威胁。默认启用这种方案成本过高而默认设置才是推动网络安全大规模发展的关键。Merkle树证书过去一年里一种名为Merkle树证书“MTCs”的新设计逐渐崭露头角认为它是后量子Web PKI的理想发展方向。MTC证书颁发机构不再逐个颁发证书并分别签名而是批量颁发证书用一个签名覆盖整个批次。浏览器会独立于TLS握手单独更新这些批次签名称为“里程碑”。通常情况下MTC握手的整个认证路径仅包含一个签名、一个公钥和一个包含证明。即便MTC使用后量子算法其数据量也比如今的Web PKI握手小。另一种“独立”形式则是在客户端的里程碑信息过时的情况下作为备用方案使用稍大的握手数据量。MTC的优势不仅在于优化数据大小。由于每个证书都是已发布Merkle树的一部分证书发行本身就具备了透明度。如今的证书透明度生态系统是事后添加的证书由CA颁发然后单独记录TLS握手中还需额外的签名来证明记录情况。而使用MTC证书无法脱离Merkle树存在证书透明度是内置的。这对来说并非全新领域。自2019年起Lets Encrypt就开始运营证书透明度日志。这些日志是只追加的Merkle树与MTC的核心数据结构相同并且已经在生产环境中大规模运行多年。Cloudflare和Chrome已经针对真实互联网流量开展了MTC的可行性实验。IETF的PLANTS工作组正在对该设计进行标准化。Chrome宣布MTC是其为公共网络添加后量子证书的首选方案。我们的计划计划将Merkle树证书作为后量子Web PKI的发展方向。目标是在2026年底搭建一个颁发MTC的测试环境并在2027年推出生产就绪的环境。这并非一项简单的工作。要在Lets Encrypt的规模下颁发MTC需要对整个技术栈进行重大更改包括证书颁发基础设施、用户获取证书使用的ACME协议、撤销和运营工具以及MTC所涵盖的透明度日志基础设施。随着标准的逐步形成一直在参与IETF PLANTS和ACME工作组的工作。在开展MTC工作的同时也在关注X.509中ML - DSA签名的标准和TLS标准以及相关的生态系统工作比如将ML - DSA添加到Go标准库。无论最终颁发的证书是MTC还是ML - DSA签名的X.509证书Web PKI向后量子安全的过渡都需要这些标准在浏览器、库和ACME客户端中落地。使用Lets Encrypt的影响目前一切照旧。现有的Lets Encrypt证书将继续按照以往的方式颁发和续订。当Lets Encrypt推出后量子证书时它们将延续服务的一贯风格免费、自动化任何拥有ACME客户端的用户都可以使用。过渡需要时间。相关标准仍在最终确定中根证书计划也在明确要求而且在大规模应用之前还需要在更广泛的生态系统浏览器、库、ACME客户端中完成工程工作。随着工作的推进和时间线的明确会及时向社区通报情况。如果维护ACME客户端或运行基于ACME的证书流程现在是开始关注PLANTS工作组的工作以及mtcschromium.org邮件列表讨论的好时机。即将到来的一些更改需要客户端的支持当证书颁发端准备好时做好准备的客户端将使整个生态系统受益。关于更广泛的后量子过渡对于更广泛的互联网社区来说后量子加密是更紧迫的问题因为任何未采用后量子密钥交换的TLS连接都可能被收集起来以便日后解密。如果运营服务器请确保它们支持混合后量子密钥交换X25519MLKEM768。主流浏览器和操作系统已经支持该功能在服务器端启用它是今年能做的最有价值的事情之一。结语自2013年以来一直秉持安全应免费、自动且人人可及的原则为公共网络构建基础设施。量子过渡是安全技术底层机制的一次代际变革。支持我们的工作ISRG是一家501(c)(3)非营利组织完全依靠认同普及开放互联网安全愿景的人士的慷慨支持。如果想支持工作请考虑参与进来、捐赠或者鼓励公司成为赞助商。Lets Encrypt是由非营利组织互联网安全研究小组提供的免费、自动化且开放的证书颁发机构。可以在2025年度报告中了解今年的非营利工作详情。法定地址548 Market St, PMB 77519San Francisco, CA 94104 - 5401USA所有邮件或咨询请发送至PO Box 18666Minneapolis, MN 55418 - 0666USA订阅Lets Encrypt和其他ISRG项目的电子邮件更新[ GitHub ][ LinkedIn ][ 使用条款 ][ 隐私政策 ][ 商标政策 ]
Let‘s Encrypt后量子未来:Merkle树证书成Web PKI破局关键!
语言[ 英语 ] [ 加泰罗尼亚语 ] [ 捷克语 ] [ 丹麦语 ] [ 德语 ] [ 希腊语 ] [ 西班牙语 ] [ 芬兰语 ] [ 法语 ] [ 希伯来语 ] [ 匈牙利语 ] [ 印尼语 ] [ 意大利语 ] [ 日语 ] [ 韩语 ] [ 波兰语 ] [ 巴西葡萄牙语 ] [ 俄语 ] [ 僧伽罗语 ] [ 塞尔维亚语 ] [ 瑞典语 ] [ 泰米尔语 ] [ 泰语 ] [ 土耳其语 ] [ 乌克兰语 ] [ 越南语 ] [ 简体中文 ] [ 繁体中文 ]跳过导航链接[ Lets Encrypt ][ 文档 ][ 获取帮助 ][ 博客 ]捐赠[ 成为赞助商 ][ 当前赞助商与资助者 ][ 参与进来 ][ 捐赠 ]关于我们[ Lets Encrypt ][ 常见问题解答 (FAQ) ][ 政策与法律文档库 ][ 服务状态 ][ 统计数据 ][ 联系我们 ][ 招聘信息 ][ 年度报告 ][ 互联网安全研究小组 (ISRG) ][立即捐赠][立即捐赠][博客]Lets Encrypt的后量子未来Lets Encrypt致力于打造一个后量子安全的Web PKI。计划采用的方案是Merkle树证书“MTCs”这是全新方法能在不牺牲TLS普及性所依赖的速度和可靠性的前提下为网络添加后量子认证。本文将介绍这些计划以及认为MTCs值得作为后量子未来关键技术来探索的原因。日益紧迫的问题过去几年后量子密码学讨论主要围绕加密展开。原因很简单攻击者记录如今加密流量可能在几年后当量子计算机能破解底层数学算法时对其进行解密。而TLS中用于验证服务器身份的认证环节紧迫性相对较低。因为量子计算机需实时伪造签名而非事后追溯所以认证面临的威胁取决于是否存在具有密码学意义的量子计算机CRQC。然而这种安全感正逐渐消失。在美国自2022年起美国国家安全局NSA的CNSA 2.0套件就已指导国家安全系统在2030 - 2035年期间采用后量子算法。NIST的过渡指导草案则计划在2030年后弃用RSA - 2048和P - 2562035年后禁止使用。欧盟的路线图目标是在2030年底前完成高风险系统的升级并在2035年前实现广泛迁移。这些规定虽未直接约束公共Web PKI但为其所依赖的供应商、库和标准组织设定了十年末的时间线相关工作已经在推进。今年时间线进一步提前。谷歌宣布将在2029年前迁移其服务理由是CRQC可能到来的时间估计更加紧迫。Cloudflare也紧随其后做出了类似承诺。此外Go 1.27将NIST标准化的后量子签名方案ML - DSA添加到标准库中这表明后量子签名正逐渐成为实用的基础设施。后量子认证不再是Web PKI生态系统可以推迟解决的问题。长期有效的密钥根证书颁发机构、代码签名密钥、身份系统是特别有价值的攻击目标而且新技术需要数年时间才能广泛应用因此相关工作必须尽早开展。Web PKI的独特情况Web PKI是部署后量子签名最具挑战性的场景之一原因在于签名和密钥的大小。ML - DSA - 44是较小的NIST标准化后量子签名方案之一其签名长度约为2420字节。而如今Web PKI中使用的算法签名要小得多RSA - 2048签名为256字节ECDSA - P256签名为64字节。公钥大小也有差异ML - DSA - 44的公钥为1312字节RSA - 2048为256字节ECDSA - P256为64字节。目前一次典型的Web PKI握手包含五个签名和两个公钥。若用ML - DSA替代一次TLS握手的数据量将轻松超过10千字节。Cloudflare的研究表明在这种规模下现实网络中相当一部分TLS连接会失败其余连接速度也会变慢。更大的握手数据量不仅会影响那些可能失败的TLS连接还会导致带宽受限、连接变慢给用户带来更差的体验而这一切只是为了防范尚未出现的威胁。默认启用这种方案成本过高而默认设置才是推动网络安全大规模发展的关键。Merkle树证书过去一年里一种名为Merkle树证书“MTCs”的新设计逐渐崭露头角认为它是后量子Web PKI的理想发展方向。MTC证书颁发机构不再逐个颁发证书并分别签名而是批量颁发证书用一个签名覆盖整个批次。浏览器会独立于TLS握手单独更新这些批次签名称为“里程碑”。通常情况下MTC握手的整个认证路径仅包含一个签名、一个公钥和一个包含证明。即便MTC使用后量子算法其数据量也比如今的Web PKI握手小。另一种“独立”形式则是在客户端的里程碑信息过时的情况下作为备用方案使用稍大的握手数据量。MTC的优势不仅在于优化数据大小。由于每个证书都是已发布Merkle树的一部分证书发行本身就具备了透明度。如今的证书透明度生态系统是事后添加的证书由CA颁发然后单独记录TLS握手中还需额外的签名来证明记录情况。而使用MTC证书无法脱离Merkle树存在证书透明度是内置的。这对来说并非全新领域。自2019年起Lets Encrypt就开始运营证书透明度日志。这些日志是只追加的Merkle树与MTC的核心数据结构相同并且已经在生产环境中大规模运行多年。Cloudflare和Chrome已经针对真实互联网流量开展了MTC的可行性实验。IETF的PLANTS工作组正在对该设计进行标准化。Chrome宣布MTC是其为公共网络添加后量子证书的首选方案。我们的计划计划将Merkle树证书作为后量子Web PKI的发展方向。目标是在2026年底搭建一个颁发MTC的测试环境并在2027年推出生产就绪的环境。这并非一项简单的工作。要在Lets Encrypt的规模下颁发MTC需要对整个技术栈进行重大更改包括证书颁发基础设施、用户获取证书使用的ACME协议、撤销和运营工具以及MTC所涵盖的透明度日志基础设施。随着标准的逐步形成一直在参与IETF PLANTS和ACME工作组的工作。在开展MTC工作的同时也在关注X.509中ML - DSA签名的标准和TLS标准以及相关的生态系统工作比如将ML - DSA添加到Go标准库。无论最终颁发的证书是MTC还是ML - DSA签名的X.509证书Web PKI向后量子安全的过渡都需要这些标准在浏览器、库和ACME客户端中落地。使用Lets Encrypt的影响目前一切照旧。现有的Lets Encrypt证书将继续按照以往的方式颁发和续订。当Lets Encrypt推出后量子证书时它们将延续服务的一贯风格免费、自动化任何拥有ACME客户端的用户都可以使用。过渡需要时间。相关标准仍在最终确定中根证书计划也在明确要求而且在大规模应用之前还需要在更广泛的生态系统浏览器、库、ACME客户端中完成工程工作。随着工作的推进和时间线的明确会及时向社区通报情况。如果维护ACME客户端或运行基于ACME的证书流程现在是开始关注PLANTS工作组的工作以及mtcschromium.org邮件列表讨论的好时机。即将到来的一些更改需要客户端的支持当证书颁发端准备好时做好准备的客户端将使整个生态系统受益。关于更广泛的后量子过渡对于更广泛的互联网社区来说后量子加密是更紧迫的问题因为任何未采用后量子密钥交换的TLS连接都可能被收集起来以便日后解密。如果运营服务器请确保它们支持混合后量子密钥交换X25519MLKEM768。主流浏览器和操作系统已经支持该功能在服务器端启用它是今年能做的最有价值的事情之一。结语自2013年以来一直秉持安全应免费、自动且人人可及的原则为公共网络构建基础设施。量子过渡是安全技术底层机制的一次代际变革。支持我们的工作ISRG是一家501(c)(3)非营利组织完全依靠认同普及开放互联网安全愿景的人士的慷慨支持。如果想支持工作请考虑参与进来、捐赠或者鼓励公司成为赞助商。Lets Encrypt是由非营利组织互联网安全研究小组提供的免费、自动化且开放的证书颁发机构。可以在2025年度报告中了解今年的非营利工作详情。法定地址548 Market St, PMB 77519San Francisco, CA 94104 - 5401USA所有邮件或咨询请发送至PO Box 18666Minneapolis, MN 55418 - 0666USA订阅Lets Encrypt和其他ISRG项目的电子邮件更新[ GitHub ][ LinkedIn ][ 使用条款 ][ 隐私政策 ][ 商标政策 ]
