包括PKI市场在内的数字领域正经历着一个日益快速的变革时期,后量子计算(Post-Quantum Computing)是一个关键的持续发展阶段。
随着美国国家标准与技术研究所(NIST)即将宣布将在SSL / TLS证书中取代RSA/ECC的算法,网络安全行业渴望了解后量子世界中的公钥基础设施(PKI)和数字证书是什么样子的,更重要的是它将如何影响依赖SSL / TLS证书的商业安全基础设施的组织。
到目前为止,NIST已经举办了四次后量子安全算法标准化会议,并宣布他们的最新会议将于2024年4月举行,并希望在今年晚些时候对选定的第一组后量子安全算法进行标准化。在这里了解更多关于NIST后量子时间线的完整信息。
然而,这只是许多步骤的第一步,在使用后量子安全证书之前,还有其他障碍需要克服:
- X.509的RFC必须进行更新,以标准化新算法的对象标识符(OID)(我们如何在证书结构中引用算法),这正在进行中
- 服务器必须更新才能提供这些新证书
- 客户端(web浏览器)也必须更新才能使用这些新证书
- 对于公共信任证书,证书颁发机构/浏览器(CA/B)论坛必须提出并通过投票表决来接受这些新算法
- 证书颁发机构(CA)需要能够签发这些新证书,这意味着硬件安全模块(HSM)的制造商也需要更新以支持它们
- HSMs的更新也可能需要更新RFC,以支持与这些模块交互的公共接口,如PKCS# 11证书
- 规范HSM的合规框架(FIPS-140)也需要更新以支持这一点
虽然在这些新证书与我们已经熟悉和信任的PKI安全结构结合之前,还有很多步骤要做,但展望并了解后量子安全证书的样子仍然很重要。
证书层次结构
后量子安全证书类似于根证书和中间证书颁发机构(ICA)证书,因为它们遵循相同的结构。它们有限制证书功能的密钥使用,有证书吊销列表(CRL)和在线证书状态协议(OCSP)信息来显示在哪里检查状态,还可以有信息物理信息系统(CPS)部分。
然而,关键的区别在于它们使用了不同的密钥类型,后量子安全证书使用了更大的密钥,这对于防止它们被利用很重要。根证书和ICA证书的例子都使用Dilithium3。
NIST在2022年选择了数字签名算法,并很可能成为TLS X.509的一个选项,尽管GlobalSign知道它将发生名称更改,以反映FIPS 204最终确定的变化,而不是Dilithium2/3/5,算法将被称为ML-DSA-44/65/78。
更大的密钥和更大的签名,需要通过SSL / TLS握手进行更大的数据传输,然而Dilithium和ML-DSA算法可能不会显著增加验证的资源消耗,这意味着虽然从用户的角度来看,这应该不会导致明显的问题,但对于处理能力较低、需要SSL / TLS证书的小型设备(如物联网设备)来说,情况可能并非如此。
密钥交换算法也必须更新,以便SSL / TLS握手是后量子安全的,并且可能会使用 Kyber(根据FIPS 203更新为FIPS 203)。像Dilithium和ML-DSA一样,它将具有更大的密钥和密文,但仍然可能更快地生成密钥。
新的后量子安全证书也完全基于Dilithium/ML-DSA算法,因此不是“混合”证书。混合证书需要进行两次签名,一次使用传统密钥,如RSA和ECC密钥,另一次使用后量子安全密钥。虽然混合证书被认为可能会使后量子安全的过渡更容易,但焦点已经转移到“纯粹的”后量子安全证书。
分支和最终实体证书
终端证书是最容易被识别的证书类型,用于颁发给公司、组织和个人,以提供网站安全性。证书签名请求(CSR)由客户端通过CA web门户、API或使用ACME 协议提交给证书颁发机构(CA)。这些CSR包含一个密钥对的RSA/ECC公钥。然而,当试图请求一个后量子安全的证书时,CSR或ACME请求将需要具有一个后量子安全的密钥类型,如Dilithium2。
这意味着用于生成csr的协议需要更新以支持新的后量子安全算法,包括ACME客户端(如ACME .sh、certbot和lego),或web服务器(如IIS、OpenSSL或其他托管服务)。
这和普通的CSR请求非常相似,包含了SubjectDN,包括通用名称和任何组织细节,以及Subject Alternative Names (SAN),它是SSL / TLS证书希望保护的资源的列表,如域名或IP地址。同样,这里的关键区别在于键类型是Dilithium2/ML-DSA。
一旦量子安全后的CSR被提交给CA,CA将检查请求的真实性,以及SAN中列出的资源是否由客户端控制。经过这些检查之后,CA就可以向客户端颁发证书了。
这样证书就可以和对应的私钥一起使用了,证书仍然包含CSR文件中包含的所有细节,但现在是在后量子安全的双锂体系下签发的。
证书状态检查
基于PKI的CA基础设施提供了两种检查证书是否被吊销的方法,即OCSP和CRL,这两种方法的工作方式略有不同。
当传统的密钥类型不再安全时,这些用于证书被吊销的通信方法也需要更新,以包含后量子安全的证书。否则,恶意方可能会试图虚假地证明有效的证书已经被吊销,或者删除不应该再信任的证书的吊销。
CRL是一个由CA发布的文件,其中包含了已经被吊销的证书的列表。这个列表由签发证书的人签名,以确保客户端可以信任它。同样,CRL的签名比当前使用RSA/ECC密钥的CRL大。然而,这不太可能导致重大问题,因为签发CA处理了大量吊销证书后,CRL会变得非常大。
OCSP的功能与CRL非常相似,只是它是一种请求和响应模型。CA会提供OCSP服务,客户端通过查询该服务来检查单个证书是否仍然有效。OCSP请求实际上不应该改变,但响应需要更新。与实际的证书对象一样,结构与当前模型保持一致,但签名和密钥要大得多。
结论
后量子计算是一项迅速崛起的技术,许多组织都渴望确保它们在后量子世界中是面向未来的。然而,后量子安全证书看起来与我们今天使用的证书非常相似。为这种变化做准备需要证书颁发机构、客户端和在线设备之间的大量合作,以熟悉这项新兴技术,更新我们的系统,并为未来确保我们的通信安全。
后量子安全证书的主要用途,以及证书提供和PKI安全的过程将保持不变,而主要的变化将围绕更新安全基础设施和软件来支持这些新的证书类型。过渡到使用后量子安全证书当然需要一些规划,但后量子安全证书、CSR和ACME请求,以及吊销和状态检查都将遵循我们已经知道和理解的熟悉结构。了解这些证书的样子只是我们为过渡到后量子未来做好准备的众多方法之一。
随着这项技术的发展,GlobalSign致力于确保我们做好准备,确保您的通信和数字证书是安全的,因此,在正确的支持下,您可以通过对后量子计算的专门研究和开发,相信您的组织是面向未来的。
