Google heeft onlangs aangekondigd dat het is begonnen met het testen van een nieuwe klasse kwantumbestendige HTTPS-certificaten in de Chrome-browser. Het doel is om “de basis te versterken” voor internetcommunicatie voordat kwantumcomputing het bestaande encryptiesysteem echt bedreigt. De huidige kwantumcomputerkracht is niet voldoende om de reguliere encryptieprotocollen van het internet te kraken, maar de beveiligingsindustrie, waaronder Google, is over het algemeen bezorgd dat zodra kwantumcomputers voor grootschalige praktische toepassingen verschijnen, de cryptografische algoritmen die momenteel de veiligheid van HTTPS garanderen het risico lopen snel kapot te gaan.
Wat Google deze keer in Chrome heeft geïntroduceerd, is een certificatensysteem dat vanaf de basis is ontworpen om kwantumbedreigingen aan te pakken. Het hoopt browsers en websites te voorzien van een "kwantumveilige" back-upoplossing zonder het laden van webpagina's aanzienlijk te vertragen.
Om de betekenis van deze verandering te begrijpen, moet u eerst de grondbeginselen van de huidige webbeveiligingsmechanismen doornemen. Wanneer een gebruiker een website bezoekt, verifieert de browser het digitale certificaat dat door de andere partij is verstrekt om te bevestigen dat de gebruiker verbinding maakt met een echte website en niet met een phishingsite of een door een tussenpersoon vermomd aanvalsknooppunt. Deze certificaten zijn gebaseerd op complexe wiskundige problemen die voor conventionele computers moeilijk binnen een redelijke tijd op te lossen zijn, waardoor aanvallers de identiteit van de website niet kunnen vervalsen of de verzonden inhoud binnen afzienbare tijd kunnen decoderen. De parallelle mogelijkheden van kwantumcomputers en de voordelen van specifieke algoritmen zullen dit uitgangspunt echter ondermijnen. Kwantumalgoritmen vertegenwoordigd door het algoritme van Shor kunnen theoretisch efficiënt grote gehele getallen ontleden en het momenteel wijdverbreide encryptiesysteem met openbare sleutels kraken, waardoor het bestaande certificatensysteem in het kwantumtijdperk "alleen in naam" wordt.
De intuïtieve tegenmaatregel van de industrie is het introduceren van anti-kwantum cryptografische algoritmen die als “moeilijk” worden beschouwd voor kwantumcomputers. Maar het probleem is dat de sleutels en handtekeningen van dit soort algoritmen meestal veel ‘dikker’ zijn dan traditionele oplossingen. In het momenteel veelgebruikte X.509-certificaatformaat bedraagt het relevante datavolume ongeveer 64 bytes. Eenmaal vervangen door een gelijkwaardige kwantumbeveiligingsoplossing zal de gegevensgrootte toenemen tot ongeveer 2,5 KB, ongeveer 40 keer de oorspronkelijke grootte. Deze certificaten moeten elke keer dat er een HTTPS-verbinding tot stand wordt gebracht via het netwerk worden verzonden. Als alle websites overstappen op kwantumbestendige certificaten die enorm in omvang toenemen, zal de hoeveelheid datatransmissie tijdens de handshake-fase aanzienlijk toenemen en zullen gebruikers persoonlijk de toename van de eerste pakketreactie en laadvertragingen van webpagina's voelen. Gewone gebruikers zullen, zodra er een duidelijk conflict is tussen beveiligingsmaatregelen en ervaring, liever het beveiligingsniveau verlagen dan een aanzienlijk langzamere toegang tot webpagina's accepteren.
Om deze tegenstelling tussen ‘veiligheid versus prestatie’ op te lossen, heeft Google ervoor gekozen een cryptografische structuur te introduceren, genaamd Merkle Tree, en op basis hiervan de zogenaamde Merkle Tree Certificates (MTC) ontworpen. Google legde in een beveiligingsblog uit dat MTC de aaneengeschakelde en omvangrijke handtekeningketenstructuur in de traditionele publieke sleutelinfrastructuur (PKI) vervangt door een compact Merkle-boomcertificaat. In deze modus ondertekent de Certificeringsautoriteit (CA) niet langer elk certificaat afzonderlijk, maar ondertekent alleen een "Boomkop" die de "hele boom" vertegenwoordigt, die miljoenen certificaatrecords kan bestrijken. Het "certificaat" dat de browser tijdens de handshake ontvangt, is niet langer een volledige certificaatketen van één site, maar een "containmentcertificaat" van een bepaalde website in deze Merkle-boom. De hoeveelheid data kan daardoor dicht bij het niveau van een traditioneel 64-byte certificaat worden gehouden, waarbij rekening wordt gehouden met de kwantumbeveiligingsmogelijkheden en netwerkoverhead.
Meer intuïtief concentreert MTC de "zware last" van het ondertekenen van certificaten op een boom die wordt onderhouden door de CA. Wat de browser van de gebruiker krijgt is een kort, verifieerbaar padcertificaat in plaats van een enorme reeks onafhankelijke certificaten en tussenliggende certificaatketens. Voor de CA betekent dit dat er slechts één boomheader hoeft te worden ondertekend om een enorme verzameling certificaten te dekken; voor de browser zijn de gegevens die nodig zijn om een kort Merkle-pad te verifiëren veel kleiner dan een volledig certificaat, wat ook helpt de vertraging in de handshake-fase onder controle te houden. Onder de veronderstelling dat kwantumbeveiligingsalgoritmen onvermijdelijk de omvang van een enkele handtekening vergroten, via 'batchverwerking' en compressie op structureel niveau, probeert Google te voorkomen dat netwerkervaring wordt gebruikt om te 'betalen' voor versterking van de beveiliging.
Momenteel werkt Chrome samen met Cloudflare om deze nieuwe certificaten op basis van Merkle-bomen online te testen. Google onthulde dat er momenteel ongeveer 1.000 certificaten via dit nieuwe systeem lopen, en dat alle verbindingen traditionele certificaten als back-up dragen wanneer ze tot stand worden gebracht. Met andere woorden: zelfs als er compatibiliteits- of implementatieproblemen zijn aan de MTC-kant, kan de browser nog steeds terugvallen op het bestaande certificaatverificatieproces om te voorkomen dat de gebruikerstoegang wordt beïnvloed of grootschalige fouten worden veroorzaakt. Dit "parallelle proefrun"-mechanisme reserveert voldoende ruimte voor de nieuwe oplossing en levert ook praktische gegevens op voor de daaropvolgende geleidelijke uitbreiding van de inzetmogelijkheden.
Volgens het plan van Google zal de uitgebreide promotie van dit kwantumbestendige certificaatsysteem doorgaan tot 2027. Tegen die tijd is Google van plan een speciale kwantumbestendige truststore te lanceren die parallel zal draaien met de bestaande Chrome-rootcertificaatopslag. Dit betekent dat browsers zowel traditionele PKI-vertrouwensketens als kwantumbestendige vertrouwensketens zullen behouden, waardoor gedifferentieerde beheer- en verificatiepaden voor verschillende soorten websitecertificaten worden geboden. In het tijdsbestek waarin de dreiging van quantum computing nog steeds "voorzienbaar maar nog niet hier" is, helpt deze parallelle architectuur de ecologische migratie geleidelijk te voltooien en de compatibiliteits- en exploitatie- en onderhoudsrisico's veroorzaakt door "één stap" te vermijden.
Het is vermeldenswaard dat de introductie van Merkle-boomcertificaten ook een belangrijk "neveneffect" heeft: certificaattransparantie (Certificate Transparency) verandert van optioneel naar verplicht. Omdat het genereren van nieuwe certificaten moet berusten op een publiek verifieerbare logstructuur, zal het bestaan van elk MTC-certificaat uiteraard worden vastgelegd in het publieke log, waardoor het moeilijk wordt om het "stil" uit te geven of te misbruiken. Voor aanvallers of interne misbruikers zal het moeilijker worden om man-in-the-middle-aanvallen uit te voeren door middel van een dergelijk mechanisme; en voor beveiligingsonderzoekers en regelgevende instanties verbetert dit ook de controleerbaarheid en traceerbaarheid van het hele ecosysteem van certificaten.
Google begon al tien jaar geleden te onderzoeken hoe een verdedigingslinie voor browsers en internetsystemen tegen kwantumcomputeraanvallen kon worden opgebouwd. Eerder heeft Google meerdere rondes van pogingen en tests uitgevoerd op het experimentele protocol, kandidaten voor versleutelingsalgoritmen en browserimplementatieniveaus. De bevordering van de gecombineerde toepassing van kwantumbestendige HTTPS-certificaten en Merkle-boomstructuren in Chrome kan worden beschouwd als een andere belangrijke implementatie van de ‘kwantumveiligheidsroutekaart’: voordat de kwantumdreiging werkelijk wordt gerealiseerd, moeten potentiële risicovolle punten vooraf worden ‘versterkt’ door middel van protocol- en infrastructuurupdates om de basis te leggen voor netwerkbeveiliging in de komende decennia.