Let’s Encrypt đã công bố lộ trình phát triển Web PKI hậu lượng tử của mình, tập trung vào một phương pháp tiếp cận mới lạ gọi là Merkle Tree Certificates (MTCs). Thiết kế này cung cấp khả năng xác thực kháng lượng tử mà không làm tăng kích thước các bắt tay TLS hoặc ảnh hưởng đến hiệu suất web.
Các chuỗi chứng chỉ X.509 truyền thống yêu cầu băng thông đáng kể. Việc áp dụng các thuật toán hậu lượng tử mạnh mẽ sẽ làm tăng đáng kể nhu cầu băng thông này. MTCs giải quyết vấn đề này bằng cách thay thế chuỗi chữ ký tuần tự nặng nề bằng các bằng chứng Merkle Tree nhỏ gọn.
Đầu năm nay, Google đã giới thiệu Merkle Tree Certificates để bảo vệ HTTPS chống lại các mối đe dọa lượng tử. Trình duyệt Chrome đang đi tiên phong trong quá trình chuyển đổi sang Merkle Tree Certificates (MTCs).
Thách thức của mã hóa hậu lượng tử đối với Web PKI
Trong nhiều năm, các cuộc thảo luận về post-quantum cryptography ưu tiên mã hóa hơn xác thực. Lý do là hợp lý: các cuộc tấn công “thu hoạch ngay, giải mã sau” khiến lưu lượng mã hóa dễ bị tổn thương ngay lập tức. Trong khi đó, việc giả mạo chữ ký xác thực đòi hỏi một máy tính lượng tử có liên quan mật mã (CRQC) hoạt động trực tiếp.
Tuy nhiên, khoảng thời gian an toàn đó đang nhanh chóng khép lại. Sự phát triển của máy tính lượng tử ngày càng trở nên hiện thực.
Yêu cầu chuyển đổi và lộ trình quốc tế
Bộ CNSA 2.0 của NSA yêu cầu các hệ thống an ninh quốc gia phải di chuyển sang các thuật toán hậu lượng tử vào năm 2030–2035. Hướng dẫn chuyển đổi dự thảo của NIST (IR 8547) đề xuất loại bỏ RSA-2048 và P-256 sau năm 2030 và không cho phép sử dụng chúng sau năm 2035.
Lộ trình hậu lượng tử của EU nhắm mục tiêu vào các hệ thống rủi ro cao vào cuối năm 2030. Đặc biệt, Google đã công bố thời hạn chuyển đổi vào năm 2029 đối với các dịch vụ của mình. Cloudflare cũng đưa ra cam kết tương tự trên blog của họ.
Go 1.27 cũng đã bổ sung ML-DSA, một lược đồ chữ ký hậu lượng tử được tiêu chuẩn hóa bởi NIST, trực tiếp vào thư viện tiêu chuẩn của nó. Điều này báo hiệu sự sẵn sàng của hạ tầng cho an ninh mạng lượng tử.
Merkle Tree Certificates (MTCs): Giải pháp đột phá cho Web PKI hậu lượng tử
Quy mô của Web PKI khiến việc di chuyển hậu lượng tử một cách đơn thuần trở nên khó khăn. ML-DSA-44, một trong những lược đồ tiêu chuẩn hóa nhỏ hơn của NIST, tạo ra các chữ ký có kích thước khoảng 2.420 byte. Con số này gần gấp 38 lần so với 64 byte của ECDSA-P256.
Một bắt tay TLS điển hình mang năm chữ ký và hai khóa công khai. Việc thay thế chúng bằng các phiên bản ML-DSA tương đương sẽ đẩy một bắt tay đơn lẻ vượt quá 10 KB. Điều này tạo ra gánh nặng lớn về băng thông và hiệu suất.
Hiệu suất và khả năng mở rộng của MTCs
Nghiên cứu của Cloudflare xác nhận hậu quả: ở quy mô đó, một phần đáng kể các kết nối TLS thực tế sẽ thất bại hoàn toàn, và phần còn lại sẽ chậm lại. Việc làm giảm chất lượng mọi kết nối TLS trên toàn cầu là một sự đánh đổi quá lớn cho một mối đe dọa chưa thực sự xuất hiện.
Merkle Tree Certificates định hình lại cách cấp phát và xác minh chứng chỉ. Thay vì ký từng chứng chỉ riêng lẻ, một CA sẽ cấp phát chứng chỉ theo lô. Một chữ ký hậu lượng tử duy nhất sẽ bao gồm toàn bộ lô.
Các máy khách (trình duyệt) duy trì các chữ ký lô này, được gọi là landmarks, độc lập với quá trình bắt tay TLS. Kết quả là: một bắt tay MTC chỉ mang một chữ ký, một khóa công khai và một bằng chứng bao gồm. Kích thước này nhỏ hơn bắt tay Web PKI hiện tại, ngay cả khi sử dụng các thuật toán hậu lượng tử.
Tính minh bạch tích hợp với MTCs
Merkle Tree Certificates cũng tích hợp Certificate Transparency (CT) ngay từ thiết kế. Mọi chứng chỉ tồn tại như một phần của cây Merkle đã xuất bản. Điều này làm cho tính minh bạch trở thành một phần nội tại của việc cấp phát chứ không phải là một tính năng bổ sung sau này.
Let’s Encrypt đã vận hành các bản ghi CT được xây dựng trên cây Merkle kể từ năm 2019 cung cấp kinh nghiệm vận hành trực tiếp với cấu trúc dữ liệu cốt lõi này.
Lộ trình triển khai Merkle Tree Certificates của Let’s Encrypt
Hệ sinh thái MTC đang được triển khai tích cực. Let’s Encrypt đang đặt mục tiêu môi trường MTC thử nghiệm vào cuối năm 2026 và môi trường sẵn sàng sản xuất vào năm 2027. Việc triển khai đòi hỏi những thay đổi lớn trên toàn bộ hạ tầng cấp phát.
Những thay đổi này bao gồm giao thức ACME (RFC 9881 tài liệu chi tiết), công cụ thu hồi và hạ tầng CT log.
Hướng dẫn cho người dùng và nhà phát triển
Đối với các thuê bao hiện tại, không có gì thay đổi ngay hôm nay. Chứng chỉ sẽ tiếp tục được cấp phát qua ACME chính xác như trước đây. Tuy nhiên, những người duy trì máy khách ACME nên bắt đầu theo dõi nhóm làm việc PLANTS để cập nhật và danh sách gửi thư [email protected] để nhận thông báo, vì các thay đổi phía máy khách sẽ được yêu cầu.
Đối với các nhà vận hành máy chủ, hành động khẩn cấp nhất hiện nay vẫn là bật trao đổi khóa lai hậu lượng tử (X25519MLKEM768). Đây là biện pháp phòng thủ chính chống lại các cuộc tấn công “thu hoạch ngay, giải mã sau” trên lưu lượng mã hóa, tăng cường bảo mật mạng tổng thể.
