Let's Encrypt于2026年6月3日宣布,计划采用Merkle Tree Certificates(MTCs)实现后量子安全的Web PKI(公钥基础设施)。这一方案旨在为TLS添加后量子认证能力,同时保持当前TLS的速度和可靠性。
后量子密码学的讨论在过去几年主要集中在加密层面,原因是攻击者可以记录今天的加密流量,待未来量子计算机成熟后解密。认证部分被认为不那么紧迫,因为量子计算机需要实时伪造签名,这依赖通用量子计算机(CRQC)的存在。但这一局面正在改变。
美国NSA的CNSA 2.0自2022年起将国家安全系统向后量子算法转移,时间表设定在2030-2035年。NIST的过渡草案计划在2030年后弃用RSA-2048和P-256,2035年后禁止使用。欧盟路线图要求高风险系统在2030年底前完成迁移,广泛迁移在2035年。这些指令虽不直接约束公共Web PKI,但为整个生态设置了时间节点。
2026年时间线进一步缩短。Google宣布将在2029年前完成服务迁移,理由是CRQC到达时间预估收紧。AWS也做出同等承诺。Python标准库已加入NIST标准化的后量子签名方案ML-DSA,表明后量子签名正在成为实用基础设施。
后量子认证已不再是可以推迟的问题。长寿命密钥(如根证书、代码签名密钥、身份系统)尤其值得关注,而新技术需要数年才能广泛采用,因此必须尽早启动。
Web PKI是部署后量子签名最棘手的场景之一,原因在于签名体积。ML-DSA-44是NIST标准中较小的后量子签名方案,签名长度约2420字节。当前Web PKI使用的RSA-2048签名仅256字节,椭圆曲线签名更小。MTCs通过Merkle树结构聚合签名,在提供后量子认证的同时避免大幅增加证书大小和握手延迟。
MTCs的核心思路是使用Merkle树来验证证书路径,将多个签名压缩为一个根值,从而减少传输和验证开销。Let's Encrypt认为这是通向后量子未来的关键路径之一,既兼容现有TLS协议,又无需牺牲性能。
当前业界对后量子TLS的探索多集中在加密算法方面,如Cloudflare已提供后量子混合密钥交换。Let's Encrypt的方案则首次系统性地解决了认证层面的后量子化问题,为整个Web PKI的长远安全奠定了基础。
该计划仍处于早期阶段,后续将逐步推进标准化和社区讨论。
本文参考来源:Hacker News
微信扫描下方的二维码阅读本文
