Google представила детальный план защиты HTTPS‑сертификатов Chrome от постквантовых атак. Ключевым элементом стратегии стала новая схема Merkle Tree Certificates (MTC), уже экспериментально задействованная в браузере Chrome и на инфраструктуре Cloudflare. Инициатива призвана решить главную техническую проблему постквантовой криптографии — резкий рост размера ключей и подписей, который угрожает стабильности и скорости TLS‑соединений.
Почему постквантовые сертификаты опасны для производительности TLS
Современные HTTPS‑соединения опираются на инфраструктуру X.509‑сертификатов, где в типичной цепочке сертификатов используются подписи на эллиптических кривых и компактные открытые ключи. Как правило, такая цепочка браузер–сервер занимает около 4 Кбайт, что приемлемо для быстрой установки TLS‑соединения даже на мобильных сетях.
С переходом к постквантовой криптографии ситуация радикально меняется. Алгоритмы класса ML‑DSA (один из кандидатов, стандартизируемых NIST как квантовоустойчивая цифровая подпись) формируют ключи и подписи, которые могут быть в десятки раз больше традиционных. По оценкам исследователей, полный набор постквантовых сертификатов и цепочек может быть примерно в 40 раз объемнее, чем текущие решения на эллиптических кривых.
Такой рост накладных расходов напрямую бьет по скорости TLS‑хендшейка. Чем больше данных необходимо передать при установке соединения, тем выше задержки, особенно на высоколатентных или нестабильных каналах. Инженеры Cloudflare отмечают, что заметное замедление работы браузера побуждает часть пользователей отключать шифрование или искать обходные пути, а это создает дополнительные риски для безопасности. Крупные сертификаты также могут ломать работу промежуточных сетевых устройств (middleboxes), которые не готовы обрабатывать столь большие TLS‑структуры.
Merkle Tree Certificates: как новые сертификаты уменьшают объем данных
Чтобы совместить квантовоустойчивость и приемлемый размер сертификатов, Google и Cloudflare предлагают перейти к модели Merkle Tree Certificates. В ее основе лежит структура данных «дерево Меркла» — иерархическое дерево хешей, широко применяемое в блокчейнах, системах логирования и распределенных хранилищах.
В классической PKI каждую цепочку X.509 необходимо полностью передавать и проверять при каждом TLS‑хендшейке. В MTC подход кардинально иной: удостоверяющий центр создает огромное дерево, где листами выступают отдельные сертификаты, а корень дерева — Tree Head — представляет собой единственный криптографический хеш, охватывающий потенциально миллионы записей. Этот корень подписывается постквантовым алгоритмом один раз, а браузеру при подключении к сайту отправляется только компактное доказательство включения (proof of inclusion) конкретного сертификата в дерево.
Благодаря такому дизайну криптографическая стойкость алгоритма подписи отделяется от объема передаваемых данных. Даже при использовании «тяжелых» постквантовых схем итоговый объем сертификатных данных, необходимых для проверки в браузере, удерживается примерно на уровне тех же 4 Кбайт, что и у нынешних HTTPS‑сертификатов. Это позволяет минимизировать влияние постквантовой миграции на скорость загрузки веб‑страниц и снизить риск сбоев в существующей сетевой инфраструктуре.
Chrome Quantum-resistant Root Store: новое квантовоустойчивое корневое хранилище
Для поддержки Merkle Tree Certificates Google запускает отдельное Chrome Quantum-resistant Root Store (CQRS) — новое корневое хранилище, специально предназначенное для квантовоустойчивых сертификатов MTC. Оно будет дополнять, а не заменять действующее Chrome Root Store.
Принципиальный момент заключается в том, что в CQRS не планируется добавлять классические X.509‑сертификаты с постквантовой криптографией. Иными словами, квантовоустойчивые сертификаты в экосистеме Chrome на первом этапе будут существовать исключительно в формате Merkle Tree Certificates. Такой подход снижает сложность и риск одновременной поддержки большого количества несовместимых форматов и позволяет браузеру более предсказуемо управлять политиками доверия.
Роль Cloudflare, этапы развертывания и рабочая группа IETF PLANTS
Практическое внедрение MTC уже началось. В браузере Chrome реализована экспериментальная поддержка Merkle Tree Certificates, а Cloudflare задействовала порядка тысячи TLS‑сертификатов в тестовом режиме на боевом трафике. На текущем этапе логи MTC ведет сама Cloudflare, однако в дальнейшем эту функцию возьмут на себя независимые удостоверяющие центры и операторы логов Certificate Transparency.
Google описывает трехфазный план развертывания:
1‑я фаза (уже идет): совместные исследования Google и Cloudflare. Оцениваются производительность, совместимость и устойчивость TLS‑соединений на базе MTC, в том числе влияние на задержки, размер хендшейка и работу middlebox‑инфраструктуры.
2‑я фаза (1 квартал 2027 года): подключение операторов логов Certificate Transparency. Они займутся начальной загрузкой и ведением публичных журналов MTC, что критично для прозрачности и обнаружения неправомерно выданных квантовоустойчивых сертификатов.
3‑я фаза (3 квартал 2027 года): финализация требований к новым удостоверяющим центрам, желающим войти в CQRS. На этом этапе экосистема квантовоустойчивых сертификатов в Chrome должна стать открытой для более широкого круга участников рынка PKI.
Координацию усилий берет на себя недавно сформированная в рамках IETF рабочая группа PLANTS (PKI, Logs, And Tree Signatures). Ее задача — выработать стандарты и протоколы, которые позволят использовать деревья Меркла и другие схемы подписей деревьев не только в Chrome, но и в других браузерах, операционных системах и корпоративных системах безопасности.
Для отрасли кибербезопасности этот шаг означает переход от теоретических обсуждений постквантовых угроз к масштабному промышленному внедрению. Организациям, управляющим крупными веб‑ресурсами и внутренней PKI, уже сейчас имеет смысл проводить инвентаризацию используемых криптографических алгоритмов, следить за требованиями браузеров и тестировать постквантовые решения в пилотных зонах. Чем ранее начнется подготовка, тем ниже будет риск столкнуться с «криптографической пропастью», когда классические алгоритмы перестанут удовлетворять требованиям безопасности, а инфраструктура еще не готова принять квантовоустойчивые сертификаты.
