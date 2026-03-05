В компании Google представили план по защите HTTPS-сертификатов Chrome от постквантовых атак. Решение строится на Merkle Tree Certificates (MTC) — новом типе сертификатов, который уже работает в Chrome и тестируется совместно с Cloudflare.

Главная проблема для разработчиков заключается в том, что квантовоустойчивая криптография требует больших объемов данных. Так, обычная цепочка сертификатов X.509, которая используется в настоящее время, содержит шесть подписей на эллиптических кривых и два открытых ключа (каждый элемент — 64 байта). В результате суммарно цепочка весит около 4 Кбайт. Однако постквантовые алгоритмы (такие как ML-DSA) генерируют более объемные ключи и подписи. В целом такие данные оказываются примерно в 40 раз объемнее классических. Передавать все это при каждом TLS-хендшейке — значит серьезно замедлить загрузку страниц.

«Чем больше размер сертификата, тем медленнее работает хендшейк и тем больше пользователей мы теряем», — пишет Бас Вестербаан (Bas Westerbaan), ведущий инженер-исследователь Cloudflare.

По его словам, если шифрование будет заметно тормозить браузер, люди просто отключат его. Кроме того, большие сертификаты способны вызвать проблемы с промежуточными сетевыми устройствами (middlebox), которые работают между браузерами и конечными сайтами.

Разработчики рассказывают, что решением станут деревья Меркла. Эта структура данных позволяет с помощью криптографических хешей верифицировать огромные массивы информации, используя лишь малую часть данных, которые потребовались бы при классической верификации через PKI. Вместо того чтобы передавать тяжелую цепочку подписей, удостоверяющий центр подписывает единый «Tree Head», охватывающий миллионы сертификатов, а «сертификат», который получает браузер, — это компактное proof of inclusion.

Таким образом, MTC позволяют отвязать криптографическую стойкость алгоритма от объема данных, передаваемых пользователю. В результате постквантовые сертификаты сохраняют примерно тот же размер в 4 Кбайт, что и нынешние.

Новая схема опирается на квантовоустойчивое корневое хранилище (Chrome Quantum-resistant Root Store, CQRS). Оно дополнит существующее Chrome Root Store и будет поддерживать только MTC. При этом в Google подчеркивают: классические X.509-сертификаты с постквантовой криптографией добавлять в корневое хранилище Chrome пока не планируется.

Внедрение MTC уже началось, и в Chrome реализована поддержка. В свою очередь, в Cloudflare подключили к эксперименту около тысячи TLS-сертификатов, чтобы оценить работу систем на реальном трафике. Пока логи ведет сама Cloudflare, но в будущем эту роль возьмут на себя удостоверяющие центры.

Развертывание запланировано в три этапа. Сейчас идет первая фаза — совместное исследование Google и Cloudflare, предназначенное для оценки производительности и безопасности TLS-соединений, использующих MTC. В первом квартале 2027 года стартует вторая фаза — в Google пригласят операторов логов Certificate Transparency, и они займутся начальной загрузкой публичных MTC. В третьем квартале 2027 года запланирована третья фаза — финализируют требования для подключения новых удостоверяющих центров к квантовоустойчивому корневому хранилищу.

Координацией займется рабочая группа PLANTS (PKI, Logs, And Tree Signatures), недавно сформированная в рамках IETF.