Google hat kürzlich bekannt gegeben, dass es mit dem Testen einer neuen Klasse quantenresistenter HTTPS-Zertifikate im Chrome-Browser begonnen hat. Ziel ist es, „das Fundament“ für die Internetkommunikation zu stärken, bevor Quantencomputer das bestehende Verschlüsselungssystem wirklich bedrohen. Die aktuelle Quantenrechenleistung reicht nicht aus, um die gängigen Verschlüsselungsprotokolle des Internets zu knacken, aber die Sicherheitsbranche, darunter auch Google, ist allgemein besorgt, dass die kryptografischen Algorithmen, die derzeit die Sicherheit von HTTPS gewährleisten, schnell kaputt gehen könnten, sobald Quantencomputer für groß angelegte praktische Anwendungen auftauchen.
Was Google dieses Mal in Chrome eingeführt hat, ist ein Zertifikatssystem, das von Grund auf für den Umgang mit Quantenbedrohungen entwickelt wurde. Ziel ist es, Browsern und Websites eine „quantensichere“ Backup-Lösung bereitzustellen, ohne das Laden von Webseiten wesentlich zu verlangsamen.
Um die Bedeutung dieser Änderung zu verstehen, müssen Sie zunächst die Grundlagen der aktuellen Web-Sicherheitsmechanismen überprüfen. Wenn ein Benutzer eine Website besucht, überprüft der Browser das von der anderen Partei bereitgestellte digitale Zertifikat, um zu bestätigen, dass der Benutzer eine Verbindung zu einer echten Website herstellt und nicht zu einer Phishing-Website oder einem von einem Mittelsmann getarnten Angreifer-Knoten. Diese Zertifikate basieren auf komplexen mathematischen Problemen, die von herkömmlichen Computern nur schwer innerhalb einer angemessenen Zeit gelöst werden können, und stellen sicher, dass Angreifer nicht innerhalb einer absehbaren Zeit die Identität der Website fälschen oder den übertragenen Inhalt entschlüsseln können. Die parallelen Fähigkeiten von Quantencomputern und die Vorteile spezifischer Algorithmen werden diese Prämisse jedoch zunichte machen. Quantenalgorithmen, die durch Shors Algorithmus dargestellt werden, können theoretisch große ganze Zahlen effizient zerlegen und das derzeit weit verbreitete Public-Key-Verschlüsselungssystem knacken, wodurch das bestehende Zertifikatsystem im Quantenzeitalter „nur dem Namen nach“ wird.
Die intuitive Gegenmaßnahme der Branche besteht darin, Anti-Quanten-Kryptographiealgorithmen einzuführen, die als „schwierig“ für Quantencomputing gelten. Das Problem besteht jedoch darin, dass die Schlüssel und Signaturen dieser Art von Algorithmen normalerweise viel „fetter“ sind als herkömmliche Lösungen. Im aktuell gebräuchlichen X.509-Zertifikatsformat beträgt das relevante Datenvolumen etwa 64 Byte. Nach dem Austausch durch eine gleichwertige Quantensicherheitslösung wird sich die Datengröße auf etwa 2,5 KB erweitern, was etwa dem 40-fachen der ursprünglichen Größe entspricht. Diese Zertifikate müssen bei jedem Aufbau einer HTTPS-Verbindung über das Netzwerk übertragen werden. Wenn alle Websites auf quantenresistente Zertifikate umsteigen, deren Größe stark zunimmt, wird die Menge der Datenübertragung während der Handshake-Phase erheblich erhöht, und Benutzer werden persönlich die Zunahme der ersten Paketantwort und der Ladeverzögerungen von Webseiten spüren. Sobald ein offensichtlicher Konflikt zwischen Sicherheitsmaßnahmen und Erfahrung besteht, würden normale Benutzer lieber die Sicherheitsstufe herabsetzen, als einen deutlich langsameren Webseitenzugriff zu akzeptieren.
Um diesen Widerspruch zwischen „Sicherheit vs. Leistung“ zu lösen, entschied sich Google für die Einführung einer kryptografischen Struktur namens Merkle Tree und entwickelte auf dieser Grundlage die sogenannten Merkle Tree Certificates (MTC). Google erklärte in einem Sicherheitsblog, dass MTC die verkettete und umfangreiche Signaturkettenstruktur in der traditionellen Public-Key-Infrastruktur (PKI) durch ein kompaktes Merkle-Tree-Zertifikat ersetzt. In diesem Modus signiert die Zertifizierungsstelle (CA) nicht mehr jedes Zertifikat einzeln, sondern nur einen „Baumkopf“, der den „gesamten Baum“ darstellt, der Millionen von Zertifikatsdatensätzen abdecken kann. Das vom Browser während des Handshakes empfangene „Zertifikat“ ist keine vollständige Single-Site-Zertifikatskette mehr, sondern ein „Containment-Zertifikat“ einer bestimmten Website in diesem Merkle-Baum. Die Datenmenge kann daher nahe dem Niveau eines herkömmlichen 64-Byte-Zertifikats gehalten werden, wodurch Quantensicherheitsfunktionen und Netzwerk-Overhead berücksichtigt werden.
Intuitiver ausgedrückt konzentriert MTC die „schwere Last“ der Zertifikatssignierung auf einen von der Zertifizierungsstelle verwalteten Baum. Was der Browser des Benutzers erhält, ist ein kurzes, überprüfbares Pfadzertifikat anstelle eines riesigen Satzes unabhängiger Zertifikate und Zwischenzertifikatsketten. Für die Zertifizierungsstelle bedeutet dies, dass nur ein Baum-Header signiert werden muss, um eine riesige Sammlung von Zertifikaten abzudecken; Für den Browser sind die zur Überprüfung eines kurzen Merkle-Pfades erforderlichen Daten viel kleiner als bei einem vollständigen Zertifikat, was auch dabei hilft, die Verzögerung in der Handshake-Phase zu kontrollieren. Unter der Voraussetzung, dass Quantensicherheitsalgorithmen durch „Stapelverarbeitung“ und Komprimierung auf struktureller Ebene zwangsläufig die Größe einer einzelnen Signatur vergrößern, versucht Google zu vermeiden, Netzwerkerfahrung zum „Bezahlen“ von Sicherheitsverstärkungen zu nutzen.
Derzeit hat Chrome begonnen, mit Cloudflare zusammenzuarbeiten, um Online-Tests dieser neuen Zertifikate auf Basis von Merkle-Bäumen durchzuführen. Google gab bekannt, dass derzeit etwa 1.000 Zertifikate über dieses neue System laufen und alle Verbindungen beim Aufbau herkömmliche Zertifikate als Backup verwenden. Mit anderen Worten: Selbst wenn es auf der MTC-Seite Kompatibilitäts- oder Implementierungsprobleme gibt, kann der Browser dennoch auf den vorhandenen Zertifikatsüberprüfungsprozess zurückgreifen, um den Benutzerzugriff nicht zu beeinträchtigen oder größere Fehler zu verursachen. Dieser „parallele Probelauf“-Mechanismus bietet ausreichend Spielraum für den Einsatz der neuen Lösung und liefert zudem praktische Daten für die anschließende schrittweise Erweiterung des Einsatzumfangs.
Nach dem Plan von Google soll die umfassende Förderung dieses quantenresistenten Zertifikatssystems bis 2027 andauern. Bis dahin plant Google die Einführung eines dedizierten quantenresistenten Trust Store, der parallel zum bestehenden Chrome-Stammzertifikatsspeicher laufen soll. Dies bedeutet, dass Browser sowohl traditionelle PKI-Vertrauensketten als auch quantenresistente Vertrauensketten beibehalten und differenzierte Verwaltungs- und Überprüfungspfade für verschiedene Arten von Website-Zertifikaten bereitstellen. In dem Zeitfenster, in dem die Bedrohung durch Quantencomputer noch „absehbar, aber noch nicht da“ ist, trägt diese parallele Architektur dazu bei, die ökologische Migration schrittweise abzuschließen und die durch „einen Schritt“ verursachten Kompatibilitäts- sowie Betriebs- und Wartungsrisiken zu vermeiden.
Bemerkenswert ist, dass die Einführung von Merkle-Baum-Zertifikaten auch einen wichtigen „Nebeneffekt“ hat: Die Transparenz der Zertifikate (Certificate Transparency) ändert sich von optional zu obligatorisch. Da die Generierung neuer Zertifikate auf einer öffentlich überprüfbaren Protokollstruktur basieren muss, wird die Existenz eines MTC-Zertifikats natürlich im öffentlichen Protokoll aufgezeichnet, was es schwierig macht, es „stillschweigend“ auszustellen oder zu missbrauchen. Für Angreifer oder interne Missbrauchstäter wird es schwieriger, Man-in-the-Middle-Angriffe durchzuführen, indem sie im Rahmen eines solchen Mechanismus Zertifikate fälschen; Und für Sicherheitsforscher und Aufsichtsbehörden verbessert sich dadurch auch die Überprüfbarkeit und Rückverfolgbarkeit des gesamten Zertifikatsökosystems.
Tatsächlich begann Google bereits vor zehn Jahren mit der Erforschung, wie man eine Verteidigungslinie für Browser und Internetsysteme gegen Quantencomputerangriffe aufbauen kann. Zuvor hat Google mehrere Versuchsrunden und Tests auf experimenteller Protokoll-, Verschlüsselungsalgorithmus-Kandidaten- und Browser-Implementierungsebene durchgeführt. Die Förderung der kombinierten Anwendung von quantenresistenten HTTPS-Zertifikaten und Merkle-Tree-Strukturen in Chrome kann als eine weitere wichtige Umsetzung seiner „Quantensicherheits-Roadmap“ angesehen werden: Bevor die Quantenbedrohung wirklich erkannt wird, sollten potenzielle Hochrisikopunkte im Voraus durch Protokoll- und Infrastrukturaktualisierungen „verstärkt“ werden, um den Grundstein für die Netzwerksicherheit in den nächsten Jahrzehnten zu legen.