谷歌推出抗量子HTTPS技术 将2.5KB数据压缩至64字节空间
谷歌宣布在HTTPS协议中引入抗量子计算攻击的新机制,通过将2.5KB的加密数据压缩至64字节,提升证书透明度日志(CT Logs)的量子安全性。该技术采用ML-DSA等抗量子算法,并结合Merkle树结构,确保即使量子计算机破解传统加密,也无法伪造证书时间戳。
新系统旨在应对量子计算机对现有加密体系的潜在威胁。当前,谷歌及浏览器厂商要求所有TLS证书发布于公开透明日志中,网站所有者可实时核查是否存在非法证书。该机制源自2011年荷兰DigiNotar黑客事件,当时500个伪造证书被用于监视伊朗用户。
一旦Shor算法实现,攻击者可能伪造经典加密签名、破解公钥,甚至伪造证书时间戳,欺骗浏览器或操作系统。为排除此风险,谷歌正在构建“抗量子根证书库”(quantum-resistant root store),作为2022年建立的Chrome根证书库的补充。
新机制采用Merkle树证书(MTCs)实现量子安全保证,无需存储完整密钥和哈希值,数据量维持在64字节。该系统已集成至Chrome浏览器,Cloudflare正测试约1000个TLS证书。目前由Cloudflare生成分布式账本,未来将由证书颁发机构(CA)主导运行。
互联网工程任务组(IETF)已成立“PKI、日志与树签名”工作组,协调相关方制定长期解决方案。谷歌在周五博客中表示:“我们视MTCs和抗量子根证书库的采用为确保当前生态系统稳健性的关键机遇,通过面向现代敏捷互联网的设计,加速为所有用户实现抗量子韧性。”
编辑点评
此次谷歌推动抗量子HTTPS技术升级,标志着全球互联网基础设施正式进入量子安全准备阶段。在量子计算机可能在未来10-20年内实现实用化的大背景下,传统RSA、ECDSA等加密算法面临被破解风险,而TLS证书透明度日志作为互联网信任基石,若被攻破将导致大规模中间人攻击和数据泄露。谷歌此举不仅提升自身生态安全性,更通过开放标准推动行业协作,为全球数字基础设施建立前瞻性防线。
新架构通过Merkle树结构和抗量子算法(如ML-DSA)实现数据压缩与安全验证的平衡,技术上具有突破性。64字节的固定长度设计对性能影响极小,有利于大规模部署。Cloudflare的测试和IETF工作组的成立,意味着该技术正走向标准化,未来可能成为全球浏览器和CA的强制要求。
长远来看,这一变革将重塑数字信任体系。各国政府、银行、云服务商将加速抗量子迁移,推动后量子密码学(PQC)在金融、政务和物联网等关键领域落地。虽然当前量子计算机尚在实验室阶段,但基础设施的前瞻性布局是应对技术颠覆的必要准备。此事件凸显了科技巨头在塑造全球数字安全标准中的领导作用,也提醒各国需加强网络安全顶层设计。