Google近日宣布,已在 Chrome 浏览器中开始测试一类全新的抗量子 HTTPS 证书,目标是在量子计算真正威胁现有加密体系之前,为互联网通信提前“加固地基”。 当前量子计算能力尚不足以破解互联网主流加密协议,但包括Google在内的安全业界普遍担心,一旦面向大规模实际应用的量子计算机出现,如今保障 HTTPS 安全的密码学算法将面临被迅速攻破的风险。
Google此次在 Chrome 中引入的是从底层设计就针对量子威胁的证书体系,希望在不显著拖慢网页加载速度的前提下,给浏览器和网站提供“量子安全”的备用方案。
要理解这一变化的重要性,首先需要回顾现行网页安全机制的基本原理。 当用户访问一个网站时,浏览器会验证对方提供的数字证书,以确认自己连接的是货真价实的网站,而不是中间人伪装的钓鱼站点或攻击者节点。 这些证书依赖的是常规计算机难以在合理时间内解出的复杂数学问题,保证攻击者在可预期的时间内无法伪造网站身份或解密传输内容。 然而,量子计算机的并行能力和特定算法的优势会颠覆这一前提,其中以 Shor 算法为代表的量子算法理论上能够高效分解大整数、破解当前广泛部署的公钥加密体系,使得现有证书体系在量子时代“形同虚设”。
业界直观的对策,是引入被认为对量子计算也“难题化”的抗量子密码算法。 但问题在于,这类算法的密钥和签名通常要比传统方案“胖”得多。 目前普遍使用的 X.509 证书格式中,相关数据体量大约是 64 字节量级,而一旦换上量子安全的等价方案,数据规模会膨胀至约 2.5KB,约为原来的 40 倍。 这些证书需要在每次建立 HTTPS 连接时通过网络传输,如果所有网站都切换到体量大幅增加的抗量子证书,会明显增加握手阶段的数据传输量,用户将切身感受到网页首包响应和加载时延的升高。 对普通用户而言,一旦安全措施和体验产生明显冲突,他们宁愿降低安全级别,也可能不愿接受明显变慢的网页访问。
为破解“安全 vs 性能”的这种矛盾,Google选择引入一种名为 Merkle 树的密码学结构,并基于此设计出所谓的 Merkle Tree Certificates(MTC)。 Google在安全博客中解释称,MTC 用紧凑的 Merkle 树证明替代了传统公钥基础设施(PKI)中层层串联、体积庞大的签名链结构。 在这种模式下,证书颁发机构(CA)不再为每张证书单独签名,而是仅对代表“整棵树”的一个“Tree Head”(树头)进行签名,这棵树可以涵盖数以百万计的证书记录。 浏览器在握手时收到的“证书”,不再是完整的单站点证书链,而是某个网站在这棵 Merkle 树中的“包含证明”,数据量因而可以保持在接近传统 64 字节证书的量级,从而兼顾量子安全能力和网络开销。
更直观地说,MTC 将证书签名的“重负”集中到 CA 维护的一棵树上,用户浏览器拿到的是一段简短、可验证的路径证明,而非一整套庞大的独立证书和中间证书链。 对 CA 而言,这意味着只需要对一个树头签名,就能覆盖庞大的证书集合;对浏览器而言,验证一个简短的 Merkle 路径所需的数据远比完整证书小得多,也有助于控制握手阶段的延迟。 在量子安全算法使单个签名体积不可避免膨胀的前提下,通过结构层面的“批处理”和压缩,Google试图避免用网络体验来为安全加固“买单”。
目前,Chrome 已经开始与 Cloudflare 合作,对这些基于 Merkle 树的新型证书进行线上实测。 Google方面透露,当前约有 1000 张证书通过这一新体系运行,所有连接在建立时同时携带传统证书作为后备保障。 换言之,即便 MTC 端出现兼容性或实现问题,浏览器仍可以回退到既有的证书验证流程,避免影响用户访问或引发大规模故障。 这种“并行试跑”机制为新方案预留了充足的磨合空间,也为后续逐步扩大部署范围提供了实践数据。
按照Google的规划,这套抗量子证书体系的全面推广将持续推进至 2027 年。 届时,Google计划推出专门的抗量子信任库,与现有的 Chrome 根证书库并行运行。 这意味着浏览器将同时维护传统 PKI 信任链和抗量子信任链,为不同类型的网站证书提供区分管理和验证路径。 在量子计算威胁尚处于“可预见但尚未到来”的时间窗口内,这种并行架构有助于逐步完成生态迁移,避免“一步到位”带来的兼容性和运维风险。
值得注意的是,Merkle 树证书的引入还有一个重要的“副作用”:证书透明度(Certificate Transparency)从可选变为强制。 由于新证书的生成必须依托公开可验证的日志结构,任何一张 MTC 证书的存在都会自然记录在公开日志里,从而难以“悄无声息”地签发或滥用。 对攻击者或内部滥用者而言,要想通过伪造证书实施中间人攻击,在这样的机制下将更加困难;而对安全研究者和监管机构来说,这也提升了对整个证书生态的可审计性与可追踪性。
实际上,Google早在十年前就开始探索如何为浏览器和互联网体系构建抵御量子计算攻击的防线。 此前,Google已经在实验性协议、加密算法候选和浏览器实现层面进行了多轮尝试与测试。 本次在 Chrome 中推动抗量子 HTTPS 证书和 Merkle 树结构的组合应用,可以视作其“量子安全路线图”的又一次关键落地:在量子威胁真正实现之前,通过协议与基础设施更新,将潜在高危点尽量提前“加固”,为未来几十年的网络安全打下基础。