Let's Encrypt 的后量子未来

后量子威胁模型与能力

  • 多条评论指出,量子能力在理论上已经被很好地建模(如 BQP 之类的复杂性类,以及 Shor 和 Grover 风格的加速),即使现实中的实用机器还不存在。
  • 无论是经典方案还是 PQ 方案,其安全性目前都仍是启发式的:没有人能够证明它们的困难性,但多年未被攻破给了人们信心。
  • 有人认为“先收集、后解密”使加密迁移变得紧迫;也有人强调签名和长寿命密钥至少同样紧迫,因为量子伪造与经典入侵几乎无法区分。

混合密码、KEM,以及“加密两次”

  • 对“直接用两种方案把数据加密两次”的天真想法有强烈反对。
  • 推荐模式:混合密钥封装(多个 KEM,例如经典 + PQ,其共享秘密被安全地组合,然后只使用一次对称 AEAD)。
  • 反复强调 KEM 不是“只是把密钥加密一下”,精确术语很重要,否则容易构造出不安全的方案。
  • 对于 KEM,混合方案被广泛认为是合理的;对于签名,混合方案争议更大,因为它们可能削弱某些理想的安全属性。

算法选择与对格子的信心

  • 讨论主要围绕基于格的方案(ML-KEM、ML-DSA)展开,它们是当前 PQ 标准,并且其参数“安全级别”是以 AES 和哈希强度为基准进行对照的。
  • LWE 及相关格问题被描述为公钥密码中最被充分理解的困难性假设之一,在某些方面甚至比 RSA 更容易理解。
  • 过去的 PQ 失败案例,如 SIKE/SIDH,被用作警示,但并未被视为对整个格密码体系的否定。

Merkle Tree Certificates(MTCs)与透明性

  • MTCs 承诺在常见情况下实现更小的握手,并提供内建透明性:每张证书都必须位于 Merkle 树中。
  • 提出的主要缺点:
    • 客户端需要持续进行带外同步“地标”;离线或不稳定的环境可能不得不回退到非常大的 PQ 签名。
    • TLS 服务器和客户端会变得更复杂;非浏览器工具和嵌入式系统可能落后,或者回避相对于地标的证书。
  • MTCs 旨在修复当今 Certificate Transparency 的弱点(SCT、多日志复杂性);可验证索引被提及为未来改进监控的一种方式。

信任、后门与怀疑

  • 一些评论者不信任 NSA/EU 的参与,并认为眼下没有迫在眉睫的量子威胁,主张继续使用 RSA/Ed25519。
  • 另一些人反驳说,标准化 PQ 方案中并没有具体候选后门,而且多个司法辖区(包括非美国)正在向类似的基于格的设计收敛。