谷歌在 Chrome 中推出抗量子 HTTPS 证书为互联网未来上锁

量子计算带来的最大风险之一，是其潜力能够破解当前保护互联网安全的许多加密协议。量子计算目前尚未构成如此巨大的威胁，现阶段它还无法破解互联网加密。但谷歌并未坐以待毙。上周五，该公司宣布 Chrome 浏览器正在推出一种新型网络证书，旨在从根本上实现抗量子化。

为什么这很重要？

要理解其重要性，首先需要了解当前网络安全的工作原理。当您访问网站时，浏览器会检查数字证书，以确认您连接的是真实网站而非假冒者。这些证书的安全性依赖于复杂的数学难题，普通计算机需要数年甚至数十年才能解开。

然而，量子计算机的出现将彻底改变这一局面。例如，一种名为肖尔算法（Shor's algorithm）的量子算法理论上可以轻易破解这些证书，使其形同虚设。对此，自然的应对措施是转向抗量子加密技术。但这也有一个棘手的问题。

抗量子加密材料的数据量远超当前标准。目前浏览器使用的标准 X.509 证书大小约为 64 字节。如果替换为抗量子等效证书，大小将激增至约 2.5 KB。虽然听起来不多，但这实际上是原大小的 40 倍。

每次访问网站时，浏览器都必须在初始连接期间下载这些证书数据。如果证书体积膨胀，网页加载速度必然受到影响。如果因为额外数据导致浏览体验变得迟缓，用户可能会选择完全关闭这些保护功能，从而适得其反。

谷歌的解决方案：默克尔树证书（MTCs）

为了解决这一难题，谷歌采用了一种名为默克尔树（Merkle tree）的加密结构。

谷歌解释道：“MTCs 用紧凑的默克尔树证明，取代了传统公钥基础设施中沉重且序列化的签名链。在这种模式下，证书颁发机构只需签署一个代表潜在数百万个证书的‘树头’，而发送给浏览器的‘证书’仅仅是证明其包含在该树中的轻量级凭证。”

简单来说，浏览器不再需要为每个网站下载完整的独立证书，而是接收一个小型的证明数据。证书颁发机构只需对覆盖数百万个网站的批次进行一次签名，浏览器实际接收的数据量就能保持在接近原始 64 字节的水平，既保证了安全性，又未牺牲性能。

进展与规划

目前，Chrome 已经与 Cloudflare 合作开始实时测试这些默克尔树证书，已有约 1,000 个证书在新系统中运行。为了确保万无一失，每个连接都同时保留了标准证书作为“安全网”，因此在测试阶段不会出现任何中断。

更广泛的推广计划将持续到 2027 年。届时，谷歌计划推出一个专用的抗量子信任存储库，与现有的 Chrome 根存储库并行运行。

这一方法还有一个非常酷的副作用：证书透明度不再是可选项。物理上不可能在不将其出现在公开可验证日志中的情况下签发此类新证书。这意味着，伪造或可疑的证书将更难蒙混过关，进一步提升了网络生态的安全性。

值得一提的是，谷歌十年来一直在采取措施，保护浏览器和互联网免受量子计算的潜在威胁。此次推出抗量子证书，正是这一长期战略的关键一步。